Việc thu thập, lưu trữ và xử lý dữ liệu cá nhân cũng tiềm ẩn nhiều rủi ro về bảo mật và an toàn thông tin. Để đảm bảo quyền lợi của chủ thể dữ liệu, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã quy định rõ ràng các nghĩa vụ của bên xử lý dữ liệu cá nhân.
Đây là những tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho bên kiểm soát dữ liệu, và do đó, đóng vai trò quan trọng trong việc bảo vệ dữ liệu cá nhân khỏi các nguy cơ bị xâm phạm, lạm dụng hoặc sử dụng sai mục đích. Việc hiểu rõ và tuân thủ các nghĩa vụ này không chỉ là yêu cầu pháp lý mà còn là trách nhiệm xã hội của mỗi bên xử lý dữ liệu, góp phần xây dựng một môi trường số an toàn và đáng tin cậy cho tất cả mọi người.
Khái niệm và vai trò của bên xử lý dữ liệu cá nhân
Khái niệm về bên xử lý dữ liệu cá nhân
Theo Điều 2 của Nghị định 13/2023/NĐ-CP, bên xử lý dữ liệu cá nhân được định nghĩa là:
“Tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.”
Điều này có nghĩa là bên xử lý dữ liệu cá nhân không phải là chủ sở hữu của dữ liệu, mà chỉ là đơn vị được Bên kiểm soát dữ liệu ủy thác để thực hiện các hoạt động xử lý dữ liệu theo mục đích và yêu cầu của Bên kiểm soát.
Xem thêm: 6 tiêu chí phân biệt giữa bên kiểm soát và bên xử lý dữ liệu cá nhân
Vai trò của bên xử lý dữ liệu cá nhân
Vai trò của bên xử lý dữ liệu cá nhân trong quá trình thu thập, lưu trữ, sử dụng và chia sẻ dữ liệu cá nhân được quy định rõ trong Điều 39 của Nghị định 13/2023/NĐ-CP. Cụ thể:
Ví dụ: Một công ty bảo hiểm (bên kiểm soát) thuê một trung tâm chăm sóc khách hàng (bên xử lý) để thu thập thông tin khách hàng qua điện thoại nhằm phục vụ cho việc tư vấn và bán sản phẩm bảo hiểm. Trung tâm chăm sóc khách hàng chỉ được phép thu thập những thông tin cần thiết theo yêu cầu của công ty bảo hiểm và không được sử dụng thông tin này cho mục đích khác.
Ví dụ: Một ngân hàng (bên kiểm soát) thuê một công ty công nghệ thông tin (bên xử lý) để lưu trữ dữ liệu giao dịch của khách hàng. Công ty công nghệ thông tin phải đảm bảo hệ thống lưu trữ đáp ứng các tiêu chuẩn bảo mật cao nhất và chỉ được phép truy cập bởi những người được ủy quyền từ phía ngân hàng.
Ví dụ: Một công ty thương mại điện tử (bên kiểm soát) thuê một công ty phân tích dữ liệu (bên xử lý) để phân tích hành vi mua sắm của khách hàng nhằm cải thiện chất lượng dịch vụ. Công ty phân tích dữ liệu chỉ được sử dụng dữ liệu khách hàng để phân tích và báo cáo kết quả cho công ty thương mại điện tử, không được sử dụng cho mục đích tiếp thị hoặc bán cho bên thứ ba.
Ví dụ: Một bệnh viện (bên kiểm soát) thuê một phòng khám (bên xử lý) để thực hiện một số xét nghiệm cho bệnh nhân. Bệnh viện có thể chia sẻ thông tin bệnh án của bệnh nhân với phòng khám để phục vụ cho việc chẩn đoán và điều trị, nhưng phải đảm bảo phòng khám có các biện pháp bảo mật thông tin bệnh án theo quy định.
Bên xử lý dữ liệu cá nhân đóng vai trò quan trọng trong việc hỗ trợ bên kiểm soát thực hiện các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên, bên xử lý chỉ được hoạt động trong phạm vi được bên kiểm soát cho phép và phải tuân thủ nghiêm ngặt các quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Các nghĩa vụ của bên xử lý dữ liệu cá nhân theo Nghị định 13
Căn cứ vào các Điều 3, 23, 24, 25, 26 và 39 của Nghị định 13/2023/NĐ-CP, chúng tôi xin phân tích các nghĩa vụ của bên xử lý dữ liệu cá nhân, bao gồm cả nghĩa vụ chung và nghĩa vụ riêng, như sau:
Nghĩa vụ chung của bên xử lý dữ liệu cá nhân theo Nghị định 13
Tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân (Điều 3)
Bên xử lý phải đảm bảo mọi hoạt động xử lý dữ liệu cá nhân đều dựa trên các nguyên tắc sau:
- Tính hợp pháp, minh bạch và trung thực: Ví dụ, một công ty cung cấp dịch vụ lưu trữ đám mây (bên xử lý) phải thông báo rõ ràng cho khách hàng (bên kiểm soát) về mục đích sử dụng dữ liệu, các biện pháp bảo mật được áp dụng và quyền của khách hàng đối với dữ liệu của họ.
- Tính chính xác: Ví dụ, một công ty xử lý bảng lương (bên xử lý) phải thường xuyên cập nhật thông tin nhân viên (dữ liệu cá nhân) để đảm bảo tính chính xác cho việc tính toán lương và thưởng.
- Tính hạn chế về mục đích và phạm vi: Ví dụ, một công ty tiếp thị (bên xử lý) được thuê để gửi email quảng cáo cho khách hàng của một doanh nghiệp (bên kiểm soát), thì họ chỉ được sử dụng dữ liệu cá nhân của khách hàng cho mục đích gửi email và không được sử dụng cho bất kỳ mục đích nào khác.
- Tính bảo mật: Ví dụ, một công ty công nghệ thông tin (bên xử lý) cung cấp dịch vụ bảo trì hệ thống cho một ngân hàng (bên kiểm soát). Công ty này phải áp dụng các biện pháp bảo mật như mã hóa dữ liệu, tường lửa và kiểm soát truy cập để bảo vệ dữ liệu khách hàng của ngân hàng.
- Tính minh bạch về trách nhiệm giải trình: Ví dụ, nếu xảy ra sự cố rò rỉ dữ liệu, bên xử lý phải có khả năng chứng minh rằng họ đã thực hiện đầy đủ các biện pháp bảo mật theo quy định và không chịu trách nhiệm về sự cố.
Thực hiện đúng theo hợp đồng hoặc thỏa thuận với bên kiểm soát dữ liệu cá nhân (Điều 39)
Bên xử lý chỉ được xử lý dữ liệu cá nhân theo đúng những gì đã được thỏa thuận với bên kiểm soát trong hợp đồng hoặc thỏa thuận về xử lý dữ liệu cá nhân.
Ví dụ: Một công ty vận chuyển (bên xử lý) được một cửa hàng trực tuyến (bên kiểm soát) thuê để giao hàng cho khách hàng. Công ty vận chuyển chỉ được phép sử dụng thông tin cá nhân của khách hàng (như tên, địa chỉ, số điện thoại) để thực hiện việc giao hàng, không được sử dụng cho mục đích khác như tiếp thị hoặc bán cho bên thứ ba.
Áp dụng các biện pháp bảo vệ dữ liệu cá nhân (Điều 26)
Bên xử lý phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân cả về mặt kỹ thuật và quản lý.
Ví dụ: Một công ty lưu trữ dữ liệu (bên xử lý) phải mã hóa dữ liệu khách hàng, sử dụng tường lửa, hệ thống phát hiện xâm nhập và thường xuyên sao lưu dữ liệu để phòng tránh mất mát hoặc rò rỉ dữ liệu.
Xóa, trả lại dữ liệu cá nhân cho bên kiểm soát sau khi kết thúc xử lý (Điều 39)
Khi hợp đồng hoặc thỏa thuận giữa bên kiểm soát và bên xử lý kết thúc, bên xử lý có nghĩa vụ xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho bên kiểm soát.
Ví dụ: Khi một chiến dịch tiếp thị kết thúc, công ty tiếp thị (bên xử lý) phải xóa dữ liệu khách hàng đã thu thập được trong quá trình thực hiện chiến dịch và không được giữ lại để sử dụng cho mục đích khác.
Phối hợp với cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân (Điều 39)
Bên xử lý phải hợp tác với các cơ quan nhà nước có thẩm quyền trong việc điều tra, xử lý các vi phạm liên quan đến dữ liệu cá nhân.
Ví dụ: Khi có yêu cầu từ cơ quan chức năng, bên xử lý phải cung cấp đầy đủ thông tin về hoạt động xử lý dữ liệu cá nhân, các biện pháp bảo mật đã áp dụng và các sự cố liên quan đến dữ liệu cá nhân (nếu có).
Nghĩa vụ riêng của bên xử lý dữ liệu cá nhân theo Nghị định 13
Lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Điều 24)
- Trong trường hợp hoạt động xử lý dữ liệu cá nhân có khả năng gây ảnh hưởng lớn đến quyền và lợi ích của chủ thể dữ liệu, bên xử lý phải lập hồ sơ đánh giá tác động.
Ví dụ, khi xử lý dữ liệu cá nhân nhạy cảm như thông tin về sức khỏe, tôn giáo, chính trị…, hoặc khi xử lý dữ liệu cá nhân với quy mô lớn.
- Hồ sơ đánh giá tác động phải bao gồm các thông tin như mục đích xử lý, loại dữ liệu, biện pháp bảo vệ, đánh giá rủi ro, biện pháp giảm thiểu rủi ro…
- Hồ sơ này giúp bên xử lý đánh giá đầy đủ các tác động tiềm ẩn của hoạt động xử lý dữ liệu cá nhân, từ đó đưa ra các biện pháp phòng ngừa và giảm thiểu rủi ro. Đồng thời, hồ sơ cũng phục vụ cho việc kiểm tra, giám sát của cơ quan nhà nước.
Tuân thủ các quy định về chuyển dữ liệu cá nhân ra nước ngoài (Điều 25)
- Khi nào phải lập hồ sơ: Khi bên xử lý có hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, họ phải tuân thủ các quy định về đánh giá tác động, thông báo và các thủ tục khác theo quy định tại Điều 25 của Nghị định 13.
- Các quy định cụ thể: Bên xử lý phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gửi hồ sơ này cho Bộ Công an, thông báo cho Bộ Công an sau khi chuyển dữ liệu thành công, và chấp hành yêu cầu chỉnh sửa, hoàn thiện hồ sơ của Bộ Công an.
- Mục đích: Các quy định này nhằm đảm bảo rằng việc chuyển dữ liệu cá nhân ra nước ngoài được thực hiện một cách an toàn, bảo mật và tuân thủ pháp luật Việt Nam.
Thông báo vi phạm dữ liệu cá nhân cho bên kiểm soát (Điều 23)
- Khi nào phải thông báo: Khi phát hiện hoặc nghi ngờ có vi phạm dữ liệu cá nhân, bên xử lý phải thông báo ngay cho bên kiểm soát chậm nhất là 72 giờ sau khi phát hiện.
- Nội dung thông báo: Thông báo phải bao gồm mô tả về tính chất của vi phạm, các hậu quả có thể xảy ra và các biện pháp đã được thực hiện để khắc phục.
- Mục đích: Việc thông báo kịp thời giúp bên kiểm soát có thể nhanh chóng triển khai các biện pháp khắc phục hậu quả, giảm thiểu thiệt hại cho chủ thể dữ liệu và thực hiện các nghĩa vụ báo cáo theo quy định của pháp luật.
Lưu ý: Các nghĩa vụ trên không chỉ là yêu cầu pháp lý mà còn là trách nhiệm của bên xử lý trong việc bảo vệ quyền riêng tư và thông tin cá nhân của người khác. Việc tuân thủ các nghĩa vụ này sẽ giúp bên xử lý tránh được các rủi ro pháp lý, đồng thời xây dựng được uy tín và niềm tin với khách hàng và đối tác.
Trách nhiệm của bên xử lý dữ liệu cá nhân khi vi phạm
Trách nhiệm của bên xử lý dữ liệu cá nhân khi vi phạm các quy định về bảo vệ dữ liệu cá nhân được quy định rõ trong Nghị định 13/2023/NĐ-CP, thể hiện qua hai khía cạnh:
Trách nhiệm dân sự (Theo Điều 39):
Bên xử lý dữ liệu cá nhân phải chịu trách nhiệm bồi thường thiệt hại cho chủ thể dữ liệu nếu việc xử lý dữ liệu cá nhân của họ gây ra thiệt hại. Thiệt hại này có thể là vật chất (mất tiền, mất cơ hội kinh doanh…) hoặc tinh thần (tổn thương danh dự, uy tín…).
Ví dụ: Một công ty công nghệ (bên xử lý) để lộ thông tin cá nhân của khách hàng do không áp dụng các biện pháp bảo mật đầy đủ. Hậu quả là khách hàng bị kẻ xấu lợi dụng thông tin để lừa đảo, chiếm đoạt tài sản. Trong trường hợp này, công ty công nghệ phải bồi thường thiệt hại về tài sản cho khách hàng.
Trách nhiệm hành chính và hình sự (Theo Điều 4):
Tùy theo tính chất và mức độ vi phạm, bên xử lý dữ liệu cá nhân có thể bị xử phạt vi phạm hành chính hoặc thậm chí bị truy cứu trách nhiệm hình sự nếu hành vi vi phạm đủ yếu tố cấu thành tội phạm.
Ví dụ về xử phạt vi phạm hành chính:
Một công ty tiếp thị (bên xử lý) gửi tin nhắn quảng cáo đến số điện thoại của khách hàng mà không có sự đồng ý của họ. Hành vi này vi phạm quy định về thu thập và sử dụng dữ liệu cá nhân trái phép, có thể bị phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng theo Điều 27 của Nghị định 13/2023/NĐ-CP.
Ví dụ về truy cứu trách nhiệm hình sự:
Một nhân viên công ty (bên xử lý) cố ý sao chép và bán dữ liệu cá nhân của khách hàng cho bên thứ ba để thu lợi bất chính. Hành vi này có thể bị truy cứu trách nhiệm hình sự về tội “Mua bán, chiếm đoạt, làm giả, phá hủy thông tin trên máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số” theo Điều 290 Bộ luật Hình sự 2015.
Lưu ý: Mức độ xử phạt cụ thể sẽ tùy thuộc vào tính chất, mức độ nghiêm trọng của hành vi vi phạm và các tình tiết tăng nặng, giảm nhẹ khác.
Các biện pháp đảm bảo thực hiện đúng nghĩa vụ của bên xử lý dữ liệu cá nhân
- Ký kết hợp đồng hoặc thỏa thuận rõ ràng, chi tiết với bên kiểm soát dữ liệu cá nhân.
- Xây dựng và áp dụng các quy trình, chính sách bảo mật dữ liệu cá nhân.
- Đào tạo nhân viên về bảo vệ dữ liệu cá nhân.
- Thường xuyên kiểm tra, rà soát và cập nhật các biện pháp bảo vệ dữ liệu cá nhân.
- Hợp tác chặt chẽ với bên kiểm soát dữ liệu cá nhân và cơ quan nhà nước có thẩm quyền.
Tìm hiểu chi tiết về Thoả thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP đã đặt ra một hệ thống nghĩa vụ toàn diện và chặt chẽ đối với bên xử lý dữ liệu cá nhân, từ việc tuân thủ các nguyên tắc chung đến việc thực hiện các quy định cụ thể về bảo mật, báo cáo và hợp tác. Việc thực hiện đầy đủ các nghĩa vụ này không chỉ là yêu cầu pháp lý bắt buộc mà còn là yếu tố then chốt để bên xử lý thể hiện trách nhiệm xã hội, bảo vệ quyền lợi của chủ thể dữ liệu và xây dựng lòng tin với khách hàng và đối tác. Trong bối cảnh dữ liệu cá nhân ngày càng có giá trị và dễ bị xâm phạm, việc nâng cao nhận thức và tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân là điều cần thiết đối với mọi bên xử lý. Chỉ có như vậy, chúng ta mới có thể xây dựng một môi trường số an toàn, lành mạnh và phát triển bền vững.