Định nghĩa
Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên kiểm soát dữ liệu cá nhân, thông qua một hợp đồng hoặc thỏa thuận với Bên kiểm soát dữ liệu cá nhân.
Cơ sở pháp lý
- Khoản 10 Điều 2 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
- Chương IV Nghị định 13/2023/NĐ-CP quy định về quyền và nghĩa vụ của Bên xử lý dữ liệu cá nhân.
Phân tích chi tiết
- Vai trò: Chỉ thực hiện các thao tác xử lý dữ liệu (thu thập, lưu trữ, phân tích, chuyển giao…) theo đúng giới hạn, mục đích và yêu cầu đã được ủy quyền bởi Bên kiểm soát dữ liệu. Mọi hoạt động ngoài phạm vi ủy quyền đều bị coi là vi phạm.
- Chủ thể: Có thể là doanh nghiệp cung cấp dịch vụ lưu trữ đám mây, đơn vị chạy chiến dịch quảng cáo, đối tác công nghệ, hoặc bất kỳ thực thể nào được thuê mướn để xử lý dữ liệu khách hàng.
- Nghĩa vụ bảo mật: Phải thiết lập các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu chống lại sự truy cập trái phép, rò rỉ, hoặc phá hủy; và phải thông báo ngay lập tức cho Bên kiểm soát dữ liệu khi xảy ra sự cố.
Ví dụ thực tiễn
Nhiều doanh nghiệp thương mại điện tử thuê các công ty dịch vụ lưu trữ đám mây (Cloud Service Providers) để lưu trữ thông tin khách hàng. Công ty đám mây này đóng vai trò là Bên xử lý dữ liệu cá nhân, trong khi nền tảng thương mại điện tử là Bên kiểm soát. Có thể tham khảo thêm các quy định về nghĩa vụ của các bên trung gian trong hoạt động xử lý dữ liệu tại Báo Chính phủ.
Khuyến nghị pháp lý
Các doanh nghiệp khi thuê ngoài dịch vụ công nghệ có đụng chạm đến dữ liệu khách hàng cần phải ký kết Thỏa thuận xử lý dữ liệu (DPA) chặt chẽ. Theo lời khuyên từ các chuyên gia pháp lý tại Phan Law Vietnam, hợp đồng này phải làm rõ phạm vi xử lý, nghĩa vụ bảo mật và quy trách nhiệm bồi thường khi xảy ra sự cố lộ lọt dữ liệu, tránh trường hợp bị liên đới trách nhiệm nặng nề trước pháp luật.