Việc xác định vai trò của doanh nghiệp trong xử lý dữ liệu cá nhân là rất quan trọng để bảo vệ quyền lợi của chủ thể dữ liệu, tuân thủ quy định pháp luật và tránh các rủi ro pháp lý, tổn thất về tài chính, uy tín. Trong bối cảnh công nghệ số phát triển mạnh mẽ, dữ liệu cá nhân đã trở thành một loại tài sản vô cùng quý giá. Qua bài viết dưới đây, DPVN sẽ hướng dẫn cách xác định vai trò của doanh nghiệp dựa trên Nghị định 13/2023/NĐ-CP để đảm bảo tuân thủ bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
Hoạt động xử lý dữ liệu cá nhân là gì?
Theo Khoản 7, Điều 2, Nghị định 13 về bảo vệ dữ liệu cá nhân Hoạt động xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Ví dụ về hoạt động xử lý dữ liệu cá nhân:
- Thu thập dữ liệu: Khi một khách hàng đăng ký tài khoản trên website bán hàng trực tuyến, doanh nghiệp sẽ thu thập các thông tin như họ tên, số điện thoại, địa chỉ email, địa chỉ giao hàng.
- Ghi dữ liệu: Thông tin khách hàng sau khi thu thập sẽ được ghi lại vào hệ thống cơ sở dữ liệu của doanh nghiệp.
- Phân tích dữ liệu: Doanh nghiệp có thể phân tích dữ liệu khách hàng để hiểu rõ hơn về hành vi mua sắm, sở thích, nhu cầu của họ, từ đó đưa ra các chiến dịch tiếp thị phù hợp.
- Xác nhận thông tin dữ liệu: Khi khách hàng đặt hàng, doanh nghiệp sẽ xác nhận lại thông tin cá nhân của họ để đảm bảo tính chính xác.
- Lưu trữ dữ liệu: Thông tin khách hàng sẽ được lưu trữ trong hệ thống của doanh nghiệp để phục vụ cho các giao dịch tiếp theo hoặc các mục đích khác theo quy định của pháp luật.
- Chỉnh sửa dữ liệu: Khách hàng có thể yêu cầu doanh nghiệp chỉnh sửa thông tin cá nhân của mình nếu có sai sót.
- Công khai thông tin dữ liệu: Trong một số trường hợp, doanh nghiệp có thể công khai một số thông tin cá nhân của khách hàng như tên người trúng thưởng trong chương trình khuyến mãi.
- Kết hợp thông tin dữ liệu: Doanh nghiệp có thể kết hợp thông tin cá nhân của khách hàng với các dữ liệu khác để tạo ra hồ sơ khách hàng chi tiết hơn.
- Truy cập dữ liệu: Nhân viên của doanh nghiệp có thể truy cập vào thông tin khách hàng để xử lý đơn hàng, giải đáp thắc mắc hoặc cung cấp dịch vụ hỗ trợ.
- Truy xuất dữ liệu: Doanh nghiệp có thể truy xuất thông tin khách hàng từ hệ thống để phục vụ cho các mục đích kinh doanh.
- Thu hồi thông tin dữ liệu: Trong trường hợp cần thiết, doanh nghiệp có thể thu hồi thông tin cá nhân của khách hàng từ các bên thứ ba đã được chia sẻ trước đó.
- Mã hóa, giải mã dữ liệu: Doanh nghiệp có thể mã hóa thông tin cá nhân của khách hàng để bảo mật, và giải mã khi cần sử dụng.
- Sao chép dữ liệu: Doanh nghiệp có thể sao chép thông tin cá nhân của khách hàng để lưu trữ dự phòng hoặc phục vụ cho các mục đích khác.
- Chia sẻ dữ liệu: Doanh nghiệp có thể chia sẻ thông tin cá nhân của khách hàng với các đối tác, nhà cung cấp dịch vụ để thực hiện các hoạt động kinh doanh.
- Truyền đưa thông tin dữ liệu: Doanh nghiệp có thể truyền đưa thông tin cá nhân của khách hàng đến các hệ thống khác nhau trong nội bộ doanh nghiệp hoặc đến các bên thứ ba.
- Cung cấp dữ liệu: Doanh nghiệp có thể cung cấp thông tin cá nhân của khách hàng cho các cơ quan chức năng theo yêu cầu của pháp luật.
- Chuyển giao dữ liệu: Doanh nghiệp có thể chuyển giao thông tin cá nhân của khách hàng cho một doanh nghiệp khác trong trường hợp sáp nhập, mua bán, hợp nhất.
- Xóa dữ liệu: Khách hàng có thể yêu cầu doanh nghiệp xóa thông tin cá nhân của mình trong một số trường hợp nhất định.
- Hủy dữ liệu: Doanh nghiệp có thể hủy thông tin cá nhân của khách hàng khi không còn cần sử dụng hoặc theo yêu cầu của khách hàng.
Các vai trò của doanh nghiệp trong xử lý dữ liệu cá nhân
Trong hoạt động xử lý dữ liệu cá nhân, doanh nghiệp có thể đảm nhận các vai trò khác nhau, mỗi vai trò mang những đặc điểm và trách nhiệm riêng biệt. Cụ thể, Nghị định 13/2023/NĐ-CP đã quy định rõ các vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân như sau:
- Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
- Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
- Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
- Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Cách xác định vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP không quy định cụ thể về cách xác định vai trò của doanh nghiệp trong hoạt động xử lý dữ liệu cá nhân mà chỉ định nghĩa các vai trò liên quan đến hoạt động này. Cụ thể:
- Bên kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân (Điều 2).
Ví dụ: Công ty bảo hiểm X thu thập thông tin khách hàng (họ tên, số điện thoại, tình trạng sức khỏe) để đánh giá rủi ro và đưa ra các gói bảo hiểm phù hợp. Công ty X tự quyết định loại thông tin cần thu thập, cách thu thập và sử dụng thông tin đó.
- Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên kiểm soát dữ liệu (Điều 2).
Ví dụ: Trung tâm DPVN cung cấp dịch vụ tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho các doanh nghiệp. DPVN xử lý dữ liệu cá nhân của doanh nghiệp theo chỉ đạo và mục đích của doanh nghiệp đó.
- Bên kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân (Điều 2).
Ví dụ: Doanh nghiệp đăng ký tên miền theo Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, doanh nghiệp đăng ký tên miền vừa là bên kiểm soát, vừa là bên xử lý dữ liệu cá nhân.
»»» Tham khảo thêm bài viết 6 tiêu chí phân biệt giữa bên kiểm soát và bên xử lý dữ liệu cá nhân
Tuy nhiên, căn cứ vào các quy định khác trong Nghị định, có thể suy luận để xác định vai trò của doanh nghiệp như sau:
- Doanh nghiệp sẽ là bên kiểm soát dữ liệu cá nhân nếu doanh nghiệp đó quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
Ví dụ: Công ty A quyết định thu thập dữ liệu cá nhân của khách hàng để phục vụ cho hoạt động chăm sóc khách hàng của công ty.
- Doanh nghiệp sẽ là bên xử lý dữ liệu cá nhân nếu doanh nghiệp đó thực hiện việc xử lý dữ liệu cá nhân theo chỉ đạo của một bên khác (bên kiểm soát).
Ví dụ: Công ty B cung cấp dịch vụ lưu trữ dữ liệu cho Công ty A và chỉ xử lý dữ liệu này theo yêu cầu của Công ty A.
- Doanh nghiệp sẽ là bên kiểm soát và xử lý dữ liệu cá nhân nếu doanh nghiệp đó đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
Ví dụ: Công ty C phát triển một ứng dụng để quản lý dữ liệu nhân viên của chính công ty đó.
Ngoài ra, để xác định vai trò của doanh nghiệp, bạn có thể căn cứ vào các yếu tố sau đây:
- Hợp đồng, thỏa thuận: Hợp đồng hoặc thỏa thuận giữa các bên liên quan đến hoạt động xử lý dữ liệu cá nhân có thể quy định rõ vai trò của mỗi bên.
- Bản chất của mối quan hệ: Vai trò của doanh nghiệp có thể được suy ra từ bản chất của mối quan hệ giữa doanh nghiệp và các bên khác liên quan đến hoạt động xử lý dữ liệu cá nhân.
Ví dụ: Nếu doanh nghiệp ký hợp đồng với một khách hàng để cung cấp dịch vụ và thu thập dữ liệu cá nhân của khách hàng trong quá trình cung cấp dịch vụ, doanh nghiệp thường sẽ là bên kiểm soát dữ liệu cá nhân.
Lưu ý: Việc phân loại vai trò của một doanh nghiệp trong hoạt động xử lý dữ liệu cá nhân có thể thay đổi tùy theo từng hoạt động cụ thể. Một doanh nghiệp có thể là bên kiểm soát trong một hoạt động và là bên xử lý trong hoạt động khác.
Trách nhiệm của doanh nghiệp trong xử lý dữ liệu cá nhân
Trách nhiệm của doanh nghiệp trong hoạt động xử lý dữ liệu cá nhân được quy định tại các điều 38, 39, 40 Nghị định 13/2023/NĐ-CP như sau:
Vai trò của doanh nghiệp | Trách nhiệm của doanh nghiệp trong hoạt động xử lý dữ liệu cá nhân |
Bên kiểm soát dữ liệu cá nhân | Đảm bảo tính hợp pháp: Chỉ được xử lý dữ liệu cá nhân trong các trường hợp sau:
Đảm bảo tính minh bạch:
Đảm bảo tính chính xác:
Thực hiện các biện pháp bảo vệ dữ liệu cá nhân:
Tôn trọng các quyền của chủ thể dữ liệu:
|
Bên xử lý dữ liệu cá nhân | Xử lý dữ liệu cá nhân theo đúng chỉ đạo của bên kiểm soát:
Đảm bảo an toàn, bảo mật dữ liệu cá nhân:
Hỗ trợ bên kiểm soát thực hiện các nghĩa vụ pháp lý:
|
Bên kiểm soát và xử lý dữ liệu cá nhân | Thực hiện đầy đủ trách nhiệm của cả bên kiểm soát và bên xử lý. |
Ngoài ra, theo Điều 41, Luật An ninh mạng, doanh nghiệp cung cấp dịch vụ trên không gian mạng tại Việt Nam còn có trách nhiệm:
- Cảnh báo nguy cơ mất an ninh mạng.
- Xây dựng phương án ứng phó sự cố an ninh mạng.
- Bảo đảm an ninh cho quá trình thu thập thông tin.
- Phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng.
- Lưu trữ dữ liệu tại Việt Nam trong một số trường hợp (Điều 26, Nghị định 53/2022/NĐ-CP).
Trên đây là tóm tắt trách nhiệm của doanh nghiệp theo từng vai trò trong hoạt động xử lý dữ liệu cá nhân. Việc hiểu rõ và thực hiện đúng các trách nhiệm này là rất quan trọng để đảm bảo quyền lợi của chủ thể dữ liệu và tuân thủ quy định của pháp luật.
Việc xác định vai trò của doanh nghiệp trong xử lý dữ liệu cá nhân là một bước quan trọng để đảm bảo tuân thủ pháp luật và bảo vệ quyền lợi của các bên liên quan. Việc xác định này có thể dựa trên nhiều yếu tố, bao gồm mục đích và phương tiện xử lý, nội dung hợp đồng, thỏa thuận giữa các bên và quy định của pháp luật.
Doanh nghiệp cần hiểu rõ vai trò của mình để thực hiện đúng các nghĩa vụ và trách nhiệm tương ứng. Việc không xác định đúng vai trò có thể dẫn đến vi phạm pháp luật về bảo vệ dữ liệu cá nhân, gây thiệt hại cho chủ thể dữ liệu và ảnh hưởng đến uy tín của doanh nghiệp. Do đó, doanh nghiệp cần đặc biệt lưu ý đến vấn đề này và tìm kiếm sự tư vấn từ các chuyên gia pháp lý nếu cần thiết. Liên hệ với DPVN – Hotline 0982976486