Nghĩa vụ của bên xử lý dữ liệu cá nhân về bảo vệ dữ liệu cá nhân 2025

Nghĩa vụ của bên xử lý dữ liệu cá nhân là một trách nhiệm pháp lý then chốt, đòi hỏi sự tuân thủ nghiêm ngặt theo hợp đồng và chỉ thị từ Bên Kiểm soát. Tại DPVN, chúng tôi sẽ phân tích 6 nghĩa vụ cốt lõi, giúp các nhà cung cấp dịch vụ hiểu rõ vai trò và trách nhiệm của bên xử lý để hoạt động an toàn, tuân thủ.

Việc xác định chính xác một doanh nghiệp có phải là Bên Xử lý Dữ liệu (Data Processor) hay không là nền tảng để phân định trách nhiệm pháp lý. Điểm mấu chốt để phân biệt nằm ở quyền ra quyết định: Bên Xử lý không quyết định mục đích (“tại sao xử lý?”) và các phương tiện chính yếu (“xử lý cái gì?”), mà chỉ thực hiện các hoạt động xử lý theo chỉ thị bằng văn bản của Bên Kiểm soát Dữ liệu.

Ví dụ thực tế:

• Một công ty bán lẻ (Bên Kiểm soát) thuê một nhà cung cấp dịch vụ email marketing (Bên Xử lý) để gửi email khuyến mãi. Công ty bán lẻ quyết định nội dung email và danh sách khách hàng nhận. Nhà cung cấp dịch vụ chỉ thực hiện việc gửi đi.
• Một bệnh viện (Bên Kiểm soát) sử dụng phần mềm quản lý hồ sơ bệnh án trên nền tảng đám mây của Amazon Web Services (AWS – Bên Xử lý). Bệnh viện quyết định lưu trữ dữ liệu gì, trong bao lâu. AWS chỉ cung cấp hạ tầng và các công cụ bảo mật.

Hiểu rõ vai trò này giúp các nhà cung cấp dịch vụ xác định đúng phạm vi nghĩa vụ của mình, tránh thực hiện các hành vi vượt quá thẩm quyền và xây dựng được một thỏa thuận bảo vệ dữ liệu cá nhân chặt chẽ với khách hàng.

Các nghĩa vụ này tạo thành một khung trách nhiệm rõ ràng, đảm bảo Bên Xử lý hoạt động như một cánh tay nối dài đáng tin cậy của Bên Kiểm soát.

Nghĩa vụ 1 & 2: Chỉ tiếp nhận và xử lý dữ liệu theo đúng hợp đồng

Đây là nghĩa vụ nền tảng. Bên Xử lý không được tự ý xử lý dữ liệu nếu chưa có một hợp đồng hoặc thỏa thuận xử lý dữ liệu (DPA) với Bên Kiểm soát. Mọi hành động xử lý đều phải tuân thủ nghiêm ngặt các chỉ thị và phạm vi được quy định trong hợp đồng đó.

Ví dụ thực tế: Một công ty giao hàng (Bên Xử lý) nhận thông tin khách hàng từ một sàn thương mại điện tử (Bên Kiểm soát) với mục đích duy nhất là giao hàng. Nếu công ty giao hàng này tự ý sử dụng danh sách khách hàng đó để gửi tin nhắn quảng cáo cho dịch vụ của mình, họ đã vi phạm nghiêm trọng nghĩa vụ này.

Nghĩa vụ 3: Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân

Bên Xử lý có trách nhiệm áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo an toàn cho dữ liệu mà mình được ủy thác. Điều này không chỉ bao gồm các biện pháp được nêu trong hợp đồng, mà còn là các biện pháp cơ bản theo quy định của pháp luật.

• Biện pháp kỹ thuật: Mã hóa dữ liệu, kiểm soát truy cập, bảo mật hệ thống mạng…
• Biện pháp tổ chức: Đào tạo nhân viên về bảo mật, ký cam kết bảo mật (NDA), xây dựng quy trình nội bộ…

Nghĩa vụ 4: Chịu trách nhiệm trước Bên Kiểm soát Dữ liệu và chủ thể dữ liệu

Nghị định 13 quy định Bên Xử lý phải chịu trách nhiệm trước Bên Kiểm soát về các thiệt hại do quá trình xử lý của mình gây ra. Đồng thời, họ cũng chịu trách nhiệm trực tiếp trước chủ thể dữ liệu cá nhân về các thiệt hại đó.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Đây là một điểm rất mới và quan trọng. Nó có nghĩa là chủ thể dữ liệu (ví dụ: khách hàng) có thể khởi kiện trực tiếp cả Bên Xử lý (nhà cung cấp dịch vụ) chứ không chỉ riêng Bên Kiểm soát (công ty bán hàng) nếu có thiệt hại xảy ra. Điều này nâng cao đáng kể trách nhiệm của các nhà cung cấp dịch vụ và buộc họ phải đầu tư nghiêm túc vào công tác bảo mật.”

Nghĩa vụ 5: Xóa hoặc trả lại toàn bộ dữ liệu cá nhân sau khi kết thúc xử lý

Khi hợp đồng dịch vụ kết thúc, Bên Xử lý không có quyền tiếp tục lưu giữ dữ liệu. Họ phải thực hiện việc xóa hoặc hủy dữ liệu cá nhân một cách an toàn hoặc trả lại toàn bộ cho Bên Kiểm soát, tùy theo các điều khoản đã thỏa thuận trong hợp đồng xử lý dữ liệu.

Nghĩa vụ 6: Phối hợp với cơ quan nhà nước có thẩm quyền

Bên Xử lý có nghĩa vụ phối hợp với Bộ Công an và các cơ quan chức năng khác, cung cấp thông tin cần thiết để phục vụ công tác điều tra, xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Đây là hai tài liệu không thể thiếu để chứng minh sự tuân thủ.

• Thỏa thuận Xử lý Dữ liệu (DPA): Văn bản này là nền tảng cho mối quan hệ với khách hàng (Bên Kiểm soát). Nó phải được soạn thảo chi tiết, quy định rõ các chỉ thị và nghĩa vụ bảo mật.
• Hồ sơ ĐGTĐ theo Mẫu Đ24-DLCN-02: Đây là thủ tục hành chính bắt buộc. Bên Xử lý phải lập hồ sơ này để kê khai thông tin về mình, về Bên Kiểm soát đã thuê mình, và các biện pháp bảo vệ mình đang áp dụng, sau đó nộp cho Cục A05.

DPVN: Dịch Vụ Tư Vấn và Xây Dựng Khung Tuân Thủ cho Bên Xử lý Dữ liệu

Trở thành một Bên Xử lý Dữ liệu đáng tin cậy là một lợi thế cạnh tranh lớn trên thị trường. Việc chứng minh được năng lực tuân thủ sẽ giúp bạn dễ dàng có được các hợp đồng từ những khách hàng lớn và khó tính.

Đội ngũ chuyên gia của DPVN sẽ hỗ trợ bạn xây dựng các Thỏa thuận xử lý dữ liệu (DPA) mẫu, hoàn thiện hồ sơ đánh giá tác động và xây dựng các quy trình nội bộ cần thiết. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được tư vấn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Nguồn tham khảo:

1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
4. Article 28 of GDPR – Processor: https://gdpr-info.eu/art-28-gdpr/
5. IAPP – Controllers and Processors: https://iapp.org/resources/article/the-gdpr-and-the-distinction-between-controller-and-processor/