Cách xác định vai trò của doanh nghiệp trong xử lý dữ liệu cá nhân

Cách xác định vai trò của doanh nghiệp trong xử lý dữ liệu cá nhân là bước đầu tiên và quan trọng nhất, quyết định toàn bộ nghĩa vụ tuân thủ của bạn. Tại DPVN, chúng tôi cung cấp hướng dẫn chi tiết giúp bạn tự xác định vai trò, phân biệt rõ doanh nghiệp là Bên Kiểm soát hay Bên Xử lý dữ liệu.

Sự ra đời của các khái niệm này là một trong những điểm nổi bật của Nghị định về bảo vệ dữ liệu cá nhân, giúp các doanh nghiệp có cơ sở pháp lý vững chắc để phân định trách nhiệm.

Về chuyên môn sâu, việc phân định vai trò này không chỉ là về thuật ngữ, mà còn là về quyền lực và trách nhiệm.

• Bên Kiểm soát Dữ liệu (Data Controller): Là người “thuyền trưởng”, người chịu trách nhiệm chính về toàn bộ hành trình của dữ liệu. Họ là người quyết định thu thập dữ liệu gì, để làm gì, lưu trữ trong bao lâu, và chia sẻ cho ai. Hầu hết các doanh nghiệp có tương tác trực tiếp với khách hàng hoặc nhân viên đều là Bên Kiểm soát.
• Bên Xử lý Dữ liệu (Data Processor): Là người “thủy thủ”, người thực hiện các công việc theo chỉ thị của thuyền trưởng. Họ không có quyền tự quyết về mục đích xử lý, mà chỉ cung cấp dịch vụ và công cụ để xử lý dữ liệu thay mặt Bên Kiểm soát.
• Bên Kiểm soát và Xử lý Dữ liệu: Là trường hợp một tổ chức đồng thời vừa quyết định mục đích, phương tiện, vừa trực tiếp thực hiện các hoạt động xử lý. Hầu hết các doanh nghiệp vừa và nhỏ đều rơi vào vai trò này.
• Bên thứ ba: Là một tổ chức độc lập, không phải là Bên Kiểm soát hay Bên Xử lý, nhưng được phép xử lý dữ liệu cho một mục đích riêng đã được thỏa thuận.

Các định nghĩa này sẽ tiếp tục được khẳng định trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, cho thấy đây là những khái niệm pháp lý nền tảng và ổn định.

Để tự xác định vai trò của doanh nghiệp, hãy trả lời 6 câu hỏi cốt lõi sau đây cho mỗi hoạt động xử lý dữ liệu của bạn:

Nếu bạn trả lời “Có” cho phần lớn các câu hỏi trên, bạn chính là Bên Kiểm soát Dữ liệu. Nếu bạn chỉ thực hiện các hoạt động này theo chỉ thị của một công ty khác, bạn là Bên Xử lý Dữ liệu.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một câu chuyện thực tế mà chúng tôi thường gặp: một công ty cung cấp phần mềm quản lý nhân sự (HRM) cho các doanh nghiệp khác, nhưng lại tự nhận mình là Bên Kiểm soát Dữ liệu của nhân viên các công ty khách hàng. Điều này là không chính xác. Trong trường hợp này, công ty khách hàng mới là Bên Kiểm soát (vì họ quyết định thu thập dữ liệu nhân viên để quản lý), còn công ty HRM chỉ là Bên Xử lý. Việc xác định sai vai trò đã khiến họ lúng túng trong việc soạn thảo hợp đồng và lập hồ sơ đánh giá tác động.”

DPVN: Dịch Vụ Tư Vấn Xác Định Vai Trò và Phân Định Trách Nhiệm

Việc xác định đúng vai trò pháp lý là bước đi chiến lược, giúp doanh nghiệp phân định rõ trách nhiệm, soạn thảo các hợp đồng phù hợp và thực hiện đúng các nghĩa vụ tuân thủ.

Đội ngũ chuyên gia của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, sẽ giúp doanh nghiệp của bạn phân tích các luồng dữ liệu và xác định chính xác vai trò của mình cũng như của các đối tác. Hãy liên hệ với chúng tôi để được tư vấn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Nguồn tham khảo:

1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
2. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
4. European Data Protection Board (EDPB) – Guidelines on the concepts of controller and processor in the GDPR: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en
5. ICO (UK) – Guide to the UK GDPR – Controllers and processors: https://ico.org.uk/for-organisations/guide-to-data-protection/controllers-and-processors/