Thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân

Trong bối cảnh dữ liệu cá nhân ngày càng trở nên nhạy cảm và có giá trị, việc ký kết thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân là vô cùng quan trọng. Thỏa thuận này không chỉ là cơ sở pháp lý để hai bên hợp tác mà còn đóng vai trò then chốt trong việc đảm bảo an toàn, bảo mật cho dữ liệu cá nhân trong quá trình xử lý, góp phần quan trọng vào việc thực thi các quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Trước khi tìm hiểu về thỏa thuận bảo vệ dữ liệu cá nhân, hãy cùng làm rõ khái niệm bên kiểm soát và bên xử lý dữ liệu cá nhân.

Theo quy định tại Nghị định 13/2023/NĐ-CP, Bên kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân, trong khi Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên kiểm soát.

Để hiểu rõ hơn về vai trò và trách nhiệm của hai bên này, bạn có thể tham khảo bài viết trước đó của chúng tôi: Phân biệt Bên kiểm soát dữ liệu cá nhân và Bên xử lý dữ liệu cá nhân

Từ định nghĩa trên, ta thấy rõ mối liên hệ mật thiết và sự ràng buộc trách nhiệm giữa bên kiểm soát và bên xử lý dữ liệu cá nhân trong quá trình xử lý. Bên kiểm soát đưa ra quyết định về mục đích và phương pháp xử lý, trong khi bên xử lý thực hiện các hoạt động xử lý đó theo chỉ đạo của bên kiểm soát thông qua một hợp đồng hoặc thỏa thuận.

Sự ràng buộc này được thể hiện rõ trong Điều 2 Điều 10 của Nghị định 13/2023/NĐ-CP, trong đó định nghĩa bên xử lý dữ liệu cá nhân là bên “thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu”. Điều này đảm bảo rằng cả hai bên đều có trách nhiệm trong việc bảo vệ dữ liệu cá nhân và tuân thủ các quy định pháp luật liên quan.

Về bản chất, thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân là là văn bản pháp lý quy định quyền và nghĩa vụ của hai bên trong hoạt động xử lý dữ liệu cá nhân.

Mục đích của bản thoả thuận bảo vệ dữ liệu cá nhân là để đảm bảo dữ liệu cá nhân được thu thập, xử lý hợp pháp, minh bạch, công bằng và được bảo vệ an toàn, bí mật theo các nguyên tắc bảo vệ dữ liệu cá nhân được quy định tại Nghị định 13/2023/NĐ-CP.

Lưu ý: Bên xử lý chỉ được tiếp nhận dữ liệu cá nhân sau khi có thoả thuận với Bên kiểm soát.

Theo đánh giá của DPVN, thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý nắm giữ một vai trò quan trọng trong quá trình xử lý dữ liệu cá nhân, cụ thể:

• Thỏa thuận là cơ sở pháp lý quan trọng để hai bên hợp tác xử lý dữ liệu cá nhân một cách an toàn và tuân thủ pháp luật.
• Thỏa thuận giúp làm rõ trách nhiệm của mỗi bên, tránh tranh chấp và đảm bảo quyền lợi của cả hai bên cũng như của chủ thể dữ liệu.
• Thỏa thuận là công cụ để thực thi các nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.

Nghị định 13 không quy định cụ thể chi tiết về nội dung của thỏa thuận bảo vệ dữ liệu cá nhân, nhưng có đề cập đến một số yêu cầu cơ bản như:

• Điều 24 (Đánh giá tác động xử lý dữ liệu cá nhân): Yêu cầu bên xử lý dữ liệu cá nhân phải lập hồ sơ đánh giá tác động khi thực hiện hợp đồng với bên kiểm soát. Hồ sơ này bao gồm thông tin về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng, có thể được coi là một phần của thỏa thuận.
• Điều 38 (Trách nhiệm của bên kiểm soát dữ liệu cá nhân), Điều 39 (Trách nhiệm của bên xử lý dữ liệu cá nhân): Quy định về trách nhiệm của hai bên trong việc bảo vệ dữ liệu cá nhân, làm cơ sở để xác định các điều khoản trách nhiệm trong thỏa thuận.
• Trách nhiệm pháp lý của mỗi bên khi vi phạm thỏa thuận: Thỏa thuận bảo vệ dữ liệu cá nhân giữa các bên là một hợp đồng dân sự, do đó việc vi phạm thỏa thuận sẽ dẫn đến trách nhiệm dân sự theo quy định của Bộ luật Dân sự. Cụ thể, bên vi phạm có thể phải bồi thường thiệt hại cho bên bị vi phạm. Ngoài ra, tùy theo tính chất và mức độ vi phạm, các bên còn có thể bị xử lý hành chính hoặc hình sự theo quy định của pháp luật.
• Các biện pháp xử lý vi phạm thỏa thuận: Khi xảy ra vi phạm thỏa thuận, các bên có thể tự thương lượng để giải quyết. Nếu không đạt được thỏa thuận, bên bị vi phạm có thể khởi kiện ra tòa án để yêu cầu bên vi phạm thực hiện nghĩa vụ hoặc bồi thường thiệt hại.

Như vậy, việc tìm hiểu và tuân thủ các quy định pháp luật liên quan là rất quan trọng để đảm bảo tính hợp pháp và hiệu lực của thỏa thuận bảo vệ dữ liệu cá nhân, đồng thời giúp các bên phòng ngừa và giải quyết các tranh chấp có thể phát sinh.

Về phần nội dung của bản thoả thuận bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân, trong Nghị định 13/2023/NĐ-CP không có quy định chi tiết. Tuy nhiên, trong quá trình DPVN thực hiện xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho các doanh nghiệp, nội dung của bản thoả thuận giữa các bên bao gồm 8 nội dung cơ bản:

• Mục đích và phạm vi xử lý dữ liệu cá nhân.
• Các loại dữ liệu cá nhân được thu thập và xử lý.
• Thời gian lưu trữ và tiêu hủy dữ liệu cá nhân.
• Các biện pháp bảo mật dữ liệu cá nhân mà bên xử lý phải thực hiện.
• Quyền và nghĩa vụ của mỗi bên trong việc bảo vệ dữ liệu cá nhân.
• Điều khoản về kiểm tra, giám sát việc xử lý dữ liệu cá nhân của bên xử lý.
• Điều khoản về báo cáo vi phạm dữ liệu cá nhân.
• Điều khoản về xử lý tranh chấp và chấm dứt thỏa thuận.

Hiện nay, chưa có văn bản pháp luật chính thức hướng dẫn chi tiết việc tuân thủ quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13. Trong quá trình DPVN hỗ trợ doanh nghiệp soạn thảo bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, chúng tôi nhận thấy những khó khăn, thách thức trong quá trình soạn thảo và thực hiện thoả thuận như:

• Thiếu hiểu biết về pháp luật: Nhiều tổ chức, cá nhân chưa nắm rõ các quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan, dẫn đến việc soạn thảo thỏa thuận không đầy đủ, không chính xác hoặc không phù hợp với thực tế hoạt động.
• Thiếu kinh nghiệm thực tế: Việc soạn thảo thỏa thuận bảo vệ dữ liệu cá nhân đòi hỏi kiến thức chuyên môn về pháp luật và công nghệ, cũng như kinh nghiệm thực tế trong việc xử lý dữ liệu cá nhân. Nhiều tổ chức, cá nhân thiếu kinh nghiệm này, dẫn đến việc soạn thảo thỏa thuận gặp nhiều khó khăn.

Liên hệ với DPVN để được tư vấn chi tiết hơn về thoả thuận bảo vệ dữ liệu cá nhân.

• Chi phí thực hiện: Việc thực hiện các biện pháp bảo mật dữ liệu cá nhân theo thỏa thuận có thể tốn kém, đặc biệt đối với các doanh nghiệp nhỏ và vừa. Điều này có thể khiến các bên không muốn hoặc không đủ khả năng thực hiện đầy đủ các cam kết trong thỏa thuận.
• Giám sát, thực thi thỏa thuận: Việc giám sát và thực thi thỏa thuận cũng là một thách thức, đặc biệt khi có sự bất đồng giữa các bên hoặc khi xảy ra vi phạm.