Thoả thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân

Thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân

Trong bối cảnh dữ liệu cá nhân ngày càng trở nên nhạy cảm và có giá trị, việc ký kết thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân là vô cùng quan trọng. Thỏa thuận này không chỉ là cơ sở pháp lý để hai bên hợp tác mà còn đóng vai trò then chốt trong việc đảm bảo an toàn, bảo mật cho dữ liệu cá nhân trong quá trình xử lý, góp phần quan trọng vào việc thực thi các quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Định nghĩa bên kiểm soát và bên xử lý dữ liệu cá nhân

Trước khi tìm hiểu về thỏa thuận bảo vệ dữ liệu cá nhân, hãy cùng làm rõ khái niệm bên kiểm soát và bên xử lý dữ liệu cá nhân.

Theo quy định tại Nghị định 13/2023/NĐ-CP, Bên kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân, trong khi Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên kiểm soát.

Để hiểu rõ hơn về vai trò và trách nhiệm của hai bên này, bạn có thể tham khảo bài viết trước đó của chúng tôi: Phân biệt Bên kiểm soát dữ liệu cá nhân và Bên xử lý dữ liệu cá nhân

Từ định nghĩa trên, ta thấy rõ mối liên hệ mật thiết và sự ràng buộc trách nhiệm giữa bên kiểm soát và bên xử lý dữ liệu cá nhân trong quá trình xử lý. Bên kiểm soát đưa ra quyết định về mục đích và phương pháp xử lý, trong khi bên xử lý thực hiện các hoạt động xử lý đó theo chỉ đạo của bên kiểm soát thông qua một hợp đồng hoặc thỏa thuận.

Sự ràng buộc này được thể hiện rõ trong Điều 2 Điều 10 của Nghị định 13/2023/NĐ-CP, trong đó định nghĩa bên xử lý dữ liệu cá nhân là bên “thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu”. Điều này đảm bảo rằng cả hai bên đều có trách nhiệm trong việc bảo vệ dữ liệu cá nhân và tuân thủ các quy định pháp luật liên quan.

Thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu

Về bản chất, thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân là là văn bản pháp lý quy định quyền và nghĩa vụ của hai bên trong hoạt động xử lý dữ liệu cá nhân.

Mục đích của bản thoả thuận bảo vệ dữ liệu cá nhân là để đảm bảo dữ liệu cá nhân được thu thập, xử lý hợp pháp, minh bạch, công bằng và được bảo vệ an toàn, bí mật theo các nguyên tắc bảo vệ dữ liệu cá nhân được quy định tại Nghị định 13/2023/NĐ-CP.

Lưu ý: Bên xử lý chỉ được tiếp nhận dữ liệu cá nhân sau khi có thoả thuận với Bên kiểm soát.

Thoả thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân
Thoả thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân

Vai trò và tầm quan trọng của thoả thuận bảo vệ dữ liệu cá nhân

Theo đánh giá của DPVN, thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý nắm giữ một vai trò quan trọng trong quá trình xử lý dữ liệu cá nhân, cụ thể:

  • Thỏa thuận là cơ sở pháp lý quan trọng để hai bên hợp tác xử lý dữ liệu cá nhân một cách an toàn và tuân thủ pháp luật.
  • Thỏa thuận giúp làm rõ trách nhiệm của mỗi bên, tránh tranh chấp và đảm bảo quyền lợi của cả hai bên cũng như của chủ thể dữ liệu.
  • Thỏa thuận là công cụ để thực thi các nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.

Các vấn đề pháp lý liên quan đến thoả thuận bảo vệ dữ liệu cá nhân

Nghị định 13 không quy định cụ thể chi tiết về nội dung của thỏa thuận bảo vệ dữ liệu cá nhân, nhưng có đề cập đến một số yêu cầu cơ bản như:

  • Điều 24 (Đánh giá tác động xử lý dữ liệu cá nhân): Yêu cầu bên xử lý dữ liệu cá nhân phải lập hồ sơ đánh giá tác động khi thực hiện hợp đồng với bên kiểm soát. Hồ sơ này bao gồm thông tin về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng, có thể được coi là một phần của thỏa thuận.
  • Điều 38 (Trách nhiệm của bên kiểm soát dữ liệu cá nhân), Điều 39 (Trách nhiệm của bên xử lý dữ liệu cá nhân): Quy định về trách nhiệm của hai bên trong việc bảo vệ dữ liệu cá nhân, làm cơ sở để xác định các điều khoản trách nhiệm trong thỏa thuận.
  • Trách nhiệm pháp lý của mỗi bên khi vi phạm thỏa thuận: Thỏa thuận bảo vệ dữ liệu cá nhân giữa các bên là một hợp đồng dân sự, do đó việc vi phạm thỏa thuận sẽ dẫn đến trách nhiệm dân sự theo quy định của Bộ luật Dân sự. Cụ thể, bên vi phạm có thể phải bồi thường thiệt hại cho bên bị vi phạm. Ngoài ra, tùy theo tính chất và mức độ vi phạm, các bên còn có thể bị xử lý hành chính hoặc hình sự theo quy định của pháp luật.
  • Các biện pháp xử lý vi phạm thỏa thuận: Khi xảy ra vi phạm thỏa thuận, các bên có thể tự thương lượng để giải quyết. Nếu không đạt được thỏa thuận, bên bị vi phạm có thể khởi kiện ra tòa án để yêu cầu bên vi phạm thực hiện nghĩa vụ hoặc bồi thường thiệt hại.

Như vậy, việc tìm hiểu và tuân thủ các quy định pháp luật liên quan là rất quan trọng để đảm bảo tính hợp pháp và hiệu lực của thỏa thuận bảo vệ dữ liệu cá nhân, đồng thời giúp các bên phòng ngừa và giải quyết các tranh chấp có thể phát sinh.

Nội dung cơ bản của thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý

Về phần nội dung của bản thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân, trong Nghị định 13/2023/NĐ-CP không có quy định chi tiết. Tuy nhiên, trong quá trình DPVN thực hiện xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho các doanh nghiệp, nội dung của bản thoả thuận giữa các bên bao gồm 8 nội dung cơ bản:

  • Mục đích và phạm vi xử lý dữ liệu cá nhân.
  • Các loại dữ liệu cá nhân được thu thập và xử lý.
  • Thời gian lưu trữ và tiêu hủy dữ liệu cá nhân.
  • Các biện pháp bảo mật dữ liệu cá nhân mà bên xử lý phải thực hiện.
  • Quyền và nghĩa vụ của mỗi bên trong việc bảo vệ dữ liệu cá nhân.
  • Điều khoản về kiểm tra, giám sát việc xử lý dữ liệu cá nhân của bên xử lý.
  • Điều khoản về báo cáo vi phạm dữ liệu cá nhân.
  • Điều khoản về xử lý tranh chấp và chấm dứt thỏa thuận.
Nội dung cơ bản của thoả thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân
Nội dung cơ bản của thoả thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân

Khó khăn trong quá trình soạn thảo và thực hiện thoả thuận giữa Bên kiểm soát và Bên xử lý

Hiện nay, chưa có văn bản pháp luật chính thức hướng dẫn chi tiết việc tuân thủ quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13. Trong quá trình DPVN hỗ trợ doanh nghiệp soạn thảo bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, chúng tôi nhận thấy những khó khăn, thách thức trong quá trình soạn thảo và thực hiện thoả thuận như:

  • Thiếu hiểu biết về pháp luật: Nhiều tổ chức, cá nhân chưa nắm rõ các quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan, dẫn đến việc soạn thảo thỏa thuận không đầy đủ, không chính xác hoặc không phù hợp với thực tế hoạt động.
  • Thiếu kinh nghiệm thực tế: Việc soạn thảo thỏa thuận bảo vệ dữ liệu cá nhân đòi hỏi kiến thức chuyên môn về pháp luật và công nghệ, cũng như kinh nghiệm thực tế trong việc xử lý dữ liệu cá nhân. Nhiều tổ chức, cá nhân thiếu kinh nghiệm này, dẫn đến việc soạn thảo thỏa thuận gặp nhiều khó khăn.

Liên hệ với DPVN để được tư vấn chi tiết hơn về thoả thuận bảo vệ dữ liệu cá nhân.

  • Chi phí thực hiện: Việc thực hiện các biện pháp bảo mật dữ liệu cá nhân theo thỏa thuận có thể tốn kém, đặc biệt đối với các doanh nghiệp nhỏ và vừa. Điều này có thể khiến các bên không muốn hoặc không đủ khả năng thực hiện đầy đủ các cam kết trong thỏa thuận.
  • Giám sát, thực thi thỏa thuận: Việc giám sát và thực thi thỏa thuận cũng là một thách thức, đặc biệt khi có sự bất đồng giữa các bên hoặc khi xảy ra vi phạm.
Liên hệ với DPVN để được tư vấn miễn phí

Hướng dẫn soạn thảo sơ bộ thoả thuận giữa Bên kiểm soát và Bên xử lý

Các bước cần thiết để soạn thảo một thỏa thuận đầy đủ và hiệu quả:

  • Xác định các bên tham gia: Bên kiểm soát và bên xử lý dữ liệu cá nhân.
  • Xác định mục đích và phạm vi xử lý dữ liệu: Nêu rõ mục đích thu thập, xử lý dữ liệu cá nhân và phạm vi dữ liệu được phép xử lý.
  • Liệt kê các loại dữ liệu cá nhân: Chỉ rõ các loại dữ liệu cá nhân cụ thể sẽ được thu thập và xử lý (ví dụ: họ tên, địa chỉ, số điện thoại, email, thông tin về giao dịch…).
  • Quy định về thời gian lưu trữ và tiêu hủy dữ liệu: Xác định thời gian lưu trữ dữ liệu cá nhân và phương pháp tiêu hủy khi không còn cần thiết.
  • Thống nhất các biện pháp bảo mật: Nêu rõ các biện pháp kỹ thuật và tổ chức mà bên xử lý phải áp dụng để bảo vệ dữ liệu cá nhân (ví dụ: mã hóa, kiểm soát truy cập, đào tạo nhân viên…).
  • Quy định về quyền và nghĩa vụ của mỗi bên:
    • Bên kiểm soát: Quyền kiểm tra, giám sát hoạt động xử lý của bên xử lý, yêu cầu báo cáo…
    • Bên xử lý: Nghĩa vụ bảo mật, không sử dụng dữ liệu cho mục đích khác, thông báo vi phạm…
  • Điều khoản về kiểm tra, giám sát: Quy định về quyền của bên kiểm soát trong việc kiểm tra, giám sát hoạt động xử lý của bên xử lý.
  • Điều khoản về báo cáo vi phạm: Quy định về nghĩa vụ của bên xử lý trong việc thông báo cho bên kiểm soát khi xảy ra vi phạm dữ liệu cá nhân.
  • Điều khoản về xử lý tranh chấp: Thống nhất phương thức giải quyết tranh chấp (thương lượng, hòa giải, trọng tài hoặc tòa án).
  • Điều khoản về chấm dứt thỏa thuận: Xác định các trường hợp chấm dứt thỏa thuận và các nghĩa vụ của mỗi bên sau khi chấm dứt.
Liên hệ với DPVN để được tư vấn miễn phí

Các lưu ý quan trong khi soạn thảo thoả thuận

Các lưu ý quan trọng khi soạn thảo thoả thuận như sau:

  • Ngôn ngữ rõ ràng, dễ hiểu: Tránh sử dụng thuật ngữ chuyên ngành quá phức tạp.
  • Tính đầy đủ, chi tiết: Đảm bảo thỏa thuận bao gồm tất cả các vấn đề cần thiết.
  • Tính hợp pháp: Thỏa thuận phải tuân thủ các quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan.
  • Tính thực tiễn: Các điều khoản trong thỏa thuận phải phù hợp với thực tế hoạt động của các bên.
  • Tính công bằng: Thỏa thuận phải đảm bảo quyền lợi của cả bên kiểm soát và bên xử lý, cũng như của chủ thể dữ liệu.

Ngoài các vấn đề đã nêu, trong thực tiễn áp dụng thỏa thuận bảo vệ dữ liệu cá nhân, ta còn cần lưu ý đến các hình thức của thỏa thuận. Theo quy định hiện hành, thỏa thuận có thể được lập dưới các hình thức sau:

  • Hợp đồng điện tử: Đây là hình thức phổ biến và tiện lợi, giúp tiết kiệm thời gian và chi phí cho các bên. Hợp đồng điện tử có giá trị pháp lý tương đương hợp đồng giấy nếu đáp ứng các điều kiện theo quy định của pháp luật về giao dịch điện tử.
  • Hợp đồng giấy: Hình thức truyền thống, đảm bảo tính trang trọng và dễ dàng lưu trữ, quản lý. Tuy nhiên, có thể mất thời gian và công sức hơn trong việc soạn thảo và ký kết.

Tóm lại, thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý không chỉ là một thủ tục pháp lý đơn thuần, mà còn là cam kết về trách nhiệm và sự minh bạch trong việc bảo vệ thông tin nhạy cảm của người dùng. Việc xây dựng một thỏa thuận chặt chẽ, đầy đủ và tuân thủ các quy định của Nghị định 13/2023/NĐ-CP là chìa khóa để đảm bảo quyền lợi của cả ba bên: bên kiểm soát, bên xử lý và chủ thể dữ liệu. Đồng thời, đây cũng là cơ sở để xây dựng niềm tin và thúc đẩy sự phát triển bền vững của môi trường kinh doanh số tại Việt Nam.

Liên hệ với DPVN để được tư vấn miễn phí