Thỏa thuận bảo vệ dữ liệu cá nhân là một hợp đồng xử lý dữ liệu bắt buộc, đóng vai trò là lá chắn pháp lý quan trọng khi doanh nghiệp thuê ngoài dịch vụ. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn chi tiết về các điều khoản bắt buộc và mẫu tham khảo, giúp bạn xây dựng một phụ lục xử lý dữ liệu chặt chẽ, đảm bảo trách nhiệm của hai bên.
Thỏa thuận bảo vệ dữ liệu cá nhân được định nghĩa như thế nào và tại sao nó lại bắt buộc?
Thỏa thuận bảo vệ dữ liệu cá nhân (còn gọi là Hợp đồng xử lý dữ liệu – DPA) là một văn bản pháp lý ràng buộc giữa Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu. Nó là bắt buộc theo Khoản 1, Điều 39 Nghị định 13/2023/NĐ-CP, quy định rằng Bên Xử lý chỉ được tiếp nhận dữ liệu sau khi có hợp đồng hoặc thỏa thuận với Bên Kiểm soát.
Đây không phải là một hợp đồng dịch vụ thông thường. Thỏa thuận này là một công cụ pháp lý chuyên biệt, được thiết kế để phân định rõ ràng vai trò, trách nhiệm và nghĩa vụ của mỗi bên trong việc bảo vệ dữ liệu cá nhân. Mục đích chính của nó là đảm bảo rằng Bên Xử lý dữ liệu (nhà cung cấp dịch vụ) sẽ xử lý dữ liệu một cách an toàn, bảo mật và chỉ theo đúng các chỉ thị hợp pháp của Bên Kiểm soát dữ liệu (doanh nghiệp thuê dịch vụ).
Về chuyên môn sâu, việc ký kết một thỏa thuận DPA chặt chẽ là cách Bên Kiểm soát thực thi trách nhiệm của mình trong việc lựa chọn đối tác phù hợp và đảm bảo dữ liệu được bảo vệ trong toàn bộ chuỗi cung ứng. Thiếu thỏa thuận này, Bên Kiểm soát sẽ phải đối mặt với rủi ro pháp lý rất lớn, vì họ vẫn là người chịu trách nhiệm cuối cùng trước chủ thể dữ liệu, ngay cả khi lỗi thuộc về nhà cung cấp. Quy định này sẽ tiếp tục được duy trì và củng cố trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
Một Thỏa thuận bảo vệ dữ liệu cá nhân (DPA) cần có những nội dung và điều khoản bắt buộc nào?
Mặc dù Nghị định 13 không liệt kê chi tiết các điều khoản bắt buộc, nhưng dựa trên các quy định về nghĩa vụ của mỗi bên và thông lệ quốc tế (như Điều 28 GDPR), một DPA hiệu quả cần phải bao gồm tối thiểu 8 nhóm điều khoản chính: từ phạm vi và mục đích xử lý, nghĩa vụ bảo mật, các biện pháp kỹ thuật, cho đến quyền kiểm tra và trách nhiệm thông báo vi phạm.
Để đảm bảo một thỏa thuận DPA thực sự là lá chắn pháp lý cho doanh nghiệp, nó cần được soạn thảo một cách chi tiết và bao quát. Dưới đây là 8 nhóm điều khoản cốt lõi mà DPVN khuyến nghị phải có trong mọi hợp đồng xử lý dữ liệu.
| Nhóm Điều khoản | Nội dung chính cần có |
|---|---|
| 1. Phạm vi, Mục đích và Thời hạn | Mô tả chi tiết loại dữ liệu được xử lý, mục đích của việc xử lý, và thời hạn Bên Xử lý được phép giữ dữ liệu. |
| 2. Nghĩa vụ của Bên Xử lý | Cam kết chỉ xử lý dữ liệu theo các chỉ thị bằng văn bản của Bên Kiểm soát; không được sử dụng dữ liệu cho mục đích riêng. |
| 3. Bảo mật | Yêu cầu Bên Xử lý phải đảm bảo nhân viên của họ được đào tạo và phải ký cam kết bảo mật thông tin. |
| 4. Các biện pháp Kỹ thuật và Tổ chức | Liệt kê các biện pháp an ninh cụ thể mà Bên Xử lý phải áp dụng (ví dụ: mã hóa dữ liệu, kiểm soát truy cập). |
| 5. Sử dụng Nhà thầu phụ | Quy định rõ Bên Xử lý không được tự ý thuê một bên khác (nhà thầu phụ) để xử lý dữ liệu nếu không có sự cho phép bằng văn bản của Bên Kiểm soát. |
| 6. Hỗ trợ Bên Kiểm soát | Nghĩa vụ của Bên Xử lý phải hỗ trợ Bên Kiểm soát trong việc đáp ứng các yêu cầu từ chủ thể dữ liệu và trong việc lập hồ sơ ĐGTĐ. |
| 7. Xử lý Vi phạm Dữ liệu | Quy định Bên Xử lý phải thông báo ngay lập tức (không chậm trễ) cho Bên Kiểm soát khi phát hiện có sự cố vi phạm dữ liệu. |
| 8. Xóa hoặc Trả lại Dữ liệu | Khi kết thúc hợp đồng, Bên Xử lý phải xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát theo lựa chọn của Bên Kiểm soát. |
Doanh nghiệp cần tuân thủ quy trình nào khi lựa chọn Bên xử lý và ký kết thỏa thuận?
Quy trình lựa chọn Bên Xử lý dữ liệu là một phần quan trọng của quản trị rủi ro. Doanh nghiệp cần thực hiện một quy trình thẩm định cẩn trọng (Due Diligence) trước khi ký kết, đảm bảo rằng đối tác có đủ năng lực và các biện pháp bảo vệ phù hợp để được ủy thác xử lý dữ liệu.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một kinh nghiệm xương máu từ thực tế tư vấn: một doanh nghiệp lớn đã thuê một agency marketing nhỏ để quản lý fanpage mà không có DPA. Agency này đã vô tình làm lộ thông tin của hàng ngàn khách hàng trong một chiến dịch. Hậu quả là doanh nghiệp lớn phải chịu toàn bộ trách nhiệm pháp lý và tổn thất uy tín, trong khi agency nhỏ gần như không có ràng buộc nào. Lựa chọn một đối tác rẻ nhưng không đủ năng lực bảo mật là một quyết định cực kỳ rủi ro.”
Quy trình lựa chọn nên bao gồm các bước sau:
- Bước 1: Gửi Bảng câu hỏi Thẩm định: Gửi cho các nhà cung cấp tiềm năng một bộ câu hỏi chi tiết về các biện pháp bảo vệ dữ liệu mà họ đang áp dụng.
- Bước 2: Yêu cầu cung cấp bằng chứng: Yêu cầu họ cung cấp các tài liệu như chính sách bảo mật, các chứng chỉ (nếu có), quy trình ứng phó sự cố.
- Bước 3: Đàm phán và Ký kết DPA: Dựa trên kết quả thẩm định, tiến hành đàm phán các điều khoản của Thỏa thuận bảo vệ dữ liệu. Đảm bảo rằng thỏa thuận này là một phần không thể tách rời của hợp đồng dịch vụ chính.
- Bước 4: Giám sát và Kiểm tra định kỳ: Sau khi ký kết, cần có cơ chế để kiểm tra, đánh giá việc tuân thủ của Bên Xử lý trong suốt thời gian hợp đồng.
Có thể tìm mẫu Thỏa thuận bảo vệ dữ liệu cá nhân (Phụ lục xử lý dữ liệu) tham khảo ở đâu?
Hiện tại, pháp luật Việt Nam chưa ban hành một mẫu Thỏa thuận bảo vệ dữ liệu cá nhân (DPA) chính thức. Do đó, các doanh nghiệp phải tự soạn thảo dựa trên các nghĩa vụ được quy định tại Nghị định 13/2023/NĐ-CP và có thể tham khảo các mẫu chuẩn quốc tế như mẫu của GDPR.
Việc tự soạn thảo một DPA đòi hỏi kiến thức pháp lý chuyên sâu để đảm bảo nó bao quát hết các rủi ro và tuân thủ đầy đủ quy định. Đây là một văn bản phức tạp và không nên sử dụng các mẫu có sẵn trên mạng một cách tùy tiện mà không có sự rà soát của luật sư.
Tải về Mẫu Thỏa thuận Bảo vệ Dữ liệu Cá nhân (DPA) do DPVN biên soạn tại đây
Mẫu tham khảo do chúng tôi cung cấp đã được xây dựng dựa trên các quy định của Nghị định 13 và các thực tiễn tốt nhất trên thế giới. Tuy nhiên, mỗi mối quan hệ hợp tác đều có những đặc thù riêng. Do đó, việc tùy chỉnh và nhận được sự tư vấn từ chuyên gia là rất cần thiết.
DPVN: Dịch Vụ Soạn Thảo và Rà Soát Thỏa Thuận Bảo Vệ Dữ Liệu
Một Thỏa thuận bảo vệ dữ liệu (DPA) được soạn thảo tốt là tài sản pháp lý vô giá. Nó giúp bạn giảm thiểu rủi ro, phân định rõ trách nhiệm và bảo vệ doanh nghiệp trước các sự cố do đối tác gây ra.
DPVN với đội ngũ chuyên gia do Luật sư Nguyễn Lâm Sơn dẫn dắt chuyên cung cấp dịch vụ soạn thảo, rà soát và đàm phán các DPA. Hãy liên hệ với chúng tôi để đảm bảo các hợp đồng của bạn được xây dựng trên một nền tảng pháp lý vững chắc.
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về Thỏa thuận bảo vệ dữ liệu cá nhân
1. DPA có thể là một phần của hợp đồng dịch vụ chính hay phải là một văn bản riêng?
DPA có thể được tích hợp thành một chương, điều khoản trong hợp đồng dịch vụ chính, hoặc được lập thành một phụ lục không thể tách rời. Hình thức phụ lục thường được ưa chuộng hơn vì tính linh hoạt và rõ ràng.
2. Nếu đối tác của chúng tôi là một công ty lớn như Google, Microsoft, chúng tôi có đàm phán DPA với họ được không?
Đối với các nhà cung cấp dịch vụ toàn cầu, họ thường có các Thỏa thuận xử lý dữ liệu (DPA) mẫu, được công khai trên website. Bạn không thể đàm phán lại các điều khoản này, nhưng trách nhiệm của Bên Kiểm soát là phải rà soát kỹ lưỡng các điều khoản đó để đảm bảo chúng đáp ứng các yêu cầu của pháp luật Việt Nam.
3. Nếu không có DPA, Bên Kiểm soát có vi phạm pháp luật không?
Có. Việc lựa chọn một Bên Xử lý không có biện pháp bảo vệ phù hợp và không có hợp đồng ràng buộc là một hành vi vi phạm nguyên tắc bảo vệ dữ liệu cá nhân. Hơn nữa, việc thiếu DPA sẽ gây khó khăn rất lớn trong việc chứng minh và phân định trách nhiệm khi có sự cố xảy ra.
4. DPA có cần phải đăng ký với cơ quan nhà nước không?
Không. DPA là một thỏa thuận dân sự giữa hai bên. Tuy nhiên, bản sao của DPA là một tài liệu bắt buộc phải nộp kèm trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gửi đến Cục A05.
5. Hợp đồng với Bên thứ ba có cần DPA không?
Có. Tương tự như Bên Xử lý, khi chia sẻ dữ liệu cho Bên thứ ba, doanh nghiệp cũng cần có một hợp đồng hoặc thỏa thuận chặt chẽ, quy định rõ mục đích, phạm vi và các nghĩa vụ bảo vệ dữ liệu của họ.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
- Article 28 of GDPR – Processor: https://gdpr-info.eu/art-28-gdpr/
- IAPP – Vendor Management: https://iapp.org/resources/topics/vendor-management/
