Trách Nhiệm Của Bên Kiểm Soát Dữ Liệu Cá Nhân

Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân là nghĩa vụ pháp lý cao nhất, quyết định mục đích và phương tiện xử lý, đồng thời chịu trách nhiệm cuối cùng trước pháp luật. Để đảm bảo tuân thủ và vận hành an toàn, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp thực thi các nghĩa vụ của mình một cách chính xác. Vai trò pháp lý, nghĩa vụ cốt lõi, trách nhiệm giải trình.

9 trách nhiệm cốt lõi của Bên Kiểm soát dữ liệu cá nhân gồm những gì?

Bên Kiểm soát dữ liệu cá nhân phải tuân thủ 9 trách nhiệm chính: tuân thủ nguyên tắc xử lý, bảo đảm quyền của chủ thể dữ liệu, lựa chọn và giám sát Bên Xử lý, áp dụng biện pháp bảo vệ, lập hồ sơ đánh giá tác động, thông báo vi phạm, lưu trữ nhật ký hệ thống, chịu trách nhiệm về thiệt hại, và phối hợp với cơ quan chức năng.

Trong bối cảnh pháp lý ngày càng siết chặt của Nghị định 13/2023/NĐ-CP và sắp tới là Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, vai trò của Bên Kiểm soát dữ liệu cá nhân (tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu) trở nên trọng yếu hơn bao giờ hết. Việc nắm vững và thực thi đầy đủ các nghĩa vụ không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý nghiêm trọng mà còn là nền tảng để xây dựng niềm tin với khách hàng và đối tác. Dưới đây là danh sách 9 trách nhiệm pháp lý cốt lõi mà mọi Bên Kiểm soát dữ liệu cá nhân phải thực hiện.

1. Tuân thủ các nguyên tắc xử lý dữ liệu: Luôn đảm bảo mọi hoạt động xử lý dữ liệu cá nhân tuân thủ các nguyên tắc nền tảng được quy định tại Điều 3 Nghị định 13/2023/NĐ-CP như tính hợp pháp, giới hạn mục đích, tối thiểu hóa dữ liệu, chính xác và bảo mật.
2. Bảo đảm các quyền của chủ thể dữ liệu: Xây dựng cơ chế và quy trình rõ ràng để chủ thể dữ liệu có thể thực hiện các quyền của mình một cách thuận lợi, bao gồm quyền được biết, đồng ý, truy cập, chỉnh sửa, xóa dữ liệu, và các quyền khác theo Điều 9 Nghị định 13/2023/NĐ-CP.
3. Lựa chọn và giám sát Bên Xử lý dữ liệu: Lựa chọn Bên Xử lý dữ liệu cá nhân có năng lực và biện pháp bảo vệ phù hợp. Phải có hợp đồng hoặc thỏa thuận rõ ràng về việc xử lý dữ liệu, quy định chặt chẽ trách nhiệm của mỗi bên (Điều 38, 39 Nghị định 13/2023/NĐ-CP).
4. Áp dụng các biện pháp bảo vệ phù hợp: Thực hiện đồng bộ các biện pháp tổ chức, quản lý và kỹ thuật để bảo vệ dữ liệu cá nhân, ngăn chặn các hành vi truy cập trái phép, mất mát, hoặc phá hủy dữ liệu (Điều 26, 27, 28 Nghị định 13/2023/NĐ-CP).
5. Lập và lưu trữ Hồ sơ đánh giá tác động: Phải lập, lưu trữ và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đến cơ quan chức năng theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân.
6. Thông báo khi có vi phạm: Thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 72 giờ kể từ khi phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân (Điều 23 Nghị định 13/2023/NĐ-CP).
7. Ghi lại và lưu trữ nhật ký hệ thống: Ghi lại và lưu trữ nhật ký về quá trình xử lý dữ liệu cá nhân để phục vụ cho việc chứng minh sự tuân thủ (trách nhiệm giải trình) theo Điều 38 Nghị định 13/2023/NĐ-CP.
8. Chịu trách nhiệm về thiệt hại: Chịu trách nhiệm trước chủ thể dữ liệu về mọi thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra, bất kể thiệt hại đó do mình hay do Bên Xử lý dữ liệu gây ra (Điều 38 Nghị định 13/2023/NĐ-CP).
9. Phối hợp với cơ quan nhà nước: Chủ động phối hợp với Bộ Công an và các cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý vi phạm.

Làm thế nào để phân định rõ trách nhiệm giữa Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân?

Việc phân định trách nhiệm được thực hiện thông qua việc xác định rõ vai trò, lựa chọn cẩn thận Bên Xử lý dữ liệu, và xây dựng một hợp đồng xử lý dữ liệu chi tiết, trong đó Bên Kiểm soát chịu trách nhiệm cuối cùng trước chủ thể dữ liệu.

Trong hệ sinh thái dữ liệu, việc thuê ngoài các dịch vụ như marketing, lưu trữ đám mây, hay phân tích dữ liệu là rất phổ biến. Điều này tạo ra mối quan hệ pháp lý phức tạp giữa Bên Kiểm soát (người quyết định) và Bên Xử lý (người thực hiện theo chỉ thị). Phân biệt rõ ràng vai trò và trách nhiệm là yêu cầu bắt buộc để đảm bảo tuân thủ và giảm thiểu rủi ro pháp lý.

Làm sao để lựa chọn Bên xử lý dữ liệu cá nhân phù hợp?

Bên Kiểm soát phải tiến hành thẩm định, yêu cầu Bên Xử lý cung cấp bằng chứng về các biện pháp bảo vệ kỹ thuật và tổ chức, đồng thời kiểm tra lịch sử tuân thủ của họ để đảm bảo họ có đủ năng lực bảo vệ dữ liệu.

Điều 38 Khoản 4 Nghị định 13/2023/NĐ-CP quy định Bên Kiểm soát dữ liệu cá nhân có nghĩa vụ lựa chọn Bên Xử lý dữ liệu phù hợp với nhiệm vụ và chỉ làm việc với bên có các biện pháp bảo vệ phù hợp. Đây không phải là một lựa chọn tùy ý mà là một nghĩa vụ pháp lý đòi hỏi sự thẩm định cẩn trọng.

💡 DPO.VN khuyến nghị doanh nghiệp nên xây dựng một bộ tiêu chí đánh giá nhà cung cấp dịch vụ (Bên Xử lý), bao gồm các yếu tố sau:

• Năng lực kỹ thuật: Yêu cầu cung cấp thông tin về các biện pháp bảo mật đang áp dụng như mã hóa, tường lửa, chứng chỉ an ninh (ví dụ: ISO 27001).
• Năng lực tổ chức: Tìm hiểu về các chính sách bảo vệ dữ liệu nội bộ, quy trình đào tạo nhân viên, và việc có hay không một nhân sự chuyên trách về bảo vệ dữ liệu.
• Lịch sử tuân thủ: Kiểm tra xem nhà cung cấp đã từng gặp sự cố vi phạm dữ liệu nào chưa và cách họ xử lý.
• Cam kết hợp đồng: Đánh giá sự sẵn sàng của họ trong việc ký kết một hợp đồng xử lý dữ liệu với các điều khoản chặt chẽ theo yêu cầu của pháp luật.

Hợp đồng xử lý dữ liệu cần có những nội dung gì để ràng buộc trách nhiệm?

Hợp đồng phải quy định rõ loại dữ liệu, phạm vi, thời hạn và mục đích xử lý; các biện pháp bảo mật Bên Xử lý phải áp dụng; nghĩa vụ thông báo vi phạm; quyền kiểm tra, giám sát của Bên Kiểm soát; và trách nhiệm xóa/trả lại dữ liệu khi kết thúc hợp đồng.

Điều 39 Khoản 1 Nghị định 13/2023/NĐ-CP nêu rõ Bên Xử lý dữ liệu cá nhân chỉ được tiếp nhận dữ liệu sau khi có hợp đồng hoặc thỏa thuận với Bên Kiểm soát. Hợp đồng này là công cụ pháp lý quan trọng nhất để phân định trách nhiệm.

Một hợp đồng xử lý dữ liệu (Data Processing Agreement – DPA) hiệu quả cần bao gồm các điều khoản tối thiểu sau:

Quy trình xử lý yêu cầu của chủ thể dữ liệu cần được thực hiện như thế nào?

Doanh nghiệp phải thiết lập một quy trình chuẩn bao gồm các bước: Tiếp nhận và xác minh yêu cầu, xử lý yêu cầu trong thời hạn pháp luật quy định (thường là 72 giờ), và thông báo kết quả cho chủ thể dữ liệu, đồng thời ghi lại quá trình xử lý.

Việc đáp ứng các yêu cầu từ chủ thể dữ liệu không chỉ là nghĩa vụ pháp lý mà còn là một điểm chạm quan trọng để xây dựng lòng tin. Một quy trình xử lý hiệu quả, minh bạch sẽ thể hiện sự tôn trọng của doanh nghiệp đối với quyền riêng tư của khách hàng và nhân viên. Bên Kiểm soát dữ liệu cá nhân có trách nhiệm đảm bảo các quyền này được thực thi.

DPO.VN đề xuất một quy trình 4 bước để xử lý các yêu cầu của chủ thể dữ liệu:

• Bước 1: Tiếp nhận và Xác minh
  Thiết lập các kênh tiếp nhận yêu cầu rõ ràng (ví dụ: email, biểu mẫu trên website). Khi nhận được yêu cầu, bước đầu tiên là xác minh danh tính của người yêu cầu để đảm bảo dữ liệu không bị tiết lộ cho sai đối tượng.
• Bước 2: Phân loại và Chuyển giao
  Xác định loại yêu cầu (truy cập, chỉnh sửa, xóa, v.v.) và chuyển đến bộ phận hoặc cá nhân phụ trách. Ghi nhận yêu cầu vào hệ thống theo dõi.
• Bước 3: Xử lý Yêu cầu trong Thời hạn
  Nghị định 13/2023/NĐ-CP đặt ra các mốc thời gian cụ thể cho việc xử lý yêu cầu. Ví dụ, việc hạn chế xử lý dữ liệu (Điều 9.6.b) và xóa dữ liệu (Điều 16.5) phải được thực hiện trong 72 giờ sau khi có yêu cầu. Doanh nghiệp cần hành động nhanh chóng để đáp ứng các thời hạn này.
• Bước 4: Phản hồi và Lưu trữ
  Thông báo cho chủ thể dữ liệu về kết quả xử lý yêu cầu. Ngay cả khi từ chối một yêu cầu (ví dụ, yêu cầu xóa dữ liệu nhưng pháp luật yêu cầu phải lưu trữ), doanh nghiệp cũng phải giải thích rõ lý do. Toàn bộ quá trình từ khi tiếp nhận đến khi phản hồi cần được ghi lại để phục vụ trách nhiệm giải trình.

Doanh nghiệp cần chuẩn bị những hồ sơ, tài liệu gì để chứng minh sự tuân thủ?

Để chứng minh sự tuân thủ, doanh nghiệp phải lập và duy trì các hồ sơ quan trọng bao gồm: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (nếu có), các chính sách bảo vệ dữ liệu nội bộ, hợp đồng xử lý dữ liệu và nhật ký hệ thống.

Nguyên tắc trách nhiệm giải trình (accountability) yêu cầu Bên Kiểm soát không chỉ tuân thủ mà còn phải có khả năng chứng minh sự tuân thủ đó trước cơ quan chức năng. Việc chuẩn bị sẵn sàng các hồ sơ, tài liệu là biện pháp phòng ngừa rủi ro hiệu quả nhất khi có hoạt động thanh tra, kiểm tra.

Khi nào phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân kể từ thời điểm bắt đầu xử lý dữ liệu, và phải nộp 01 bản chính cho Cục A05 – Bộ Công an trong vòng 60 ngày.

Điều 24 Nghị định 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân quy định rất rõ về nghĩa vụ này. Đây là một tài liệu pháp lý quan trọng, phân tích toàn diện các hoạt động xử lý dữ liệu của doanh nghiệp và các biện pháp bảo vệ được áp dụng.

Nội dung hồ sơ: Doanh nghiệp cần sử dụng Mẫu Đ24-DLCN-01 để lập hồ sơ, bao gồm các thông tin chi tiết về:

• Thông tin của Bên Kiểm soát dữ liệu.
• Mục đích và các loại dữ liệu cá nhân được xử lý.
• Thông tin về các tổ chức, cá nhân nhận dữ liệu (bao gồm cả việc chuyển dữ liệu cá nhân ra nước ngoài).
• Thời gian xử lý, lưu trữ và xóa dữ liệu.
• Mô tả các biện pháp bảo vệ dữ liệu được áp dụng.
• Đánh giá mức độ ảnh hưởng và các biện pháp giảm thiểu rủi ro.

Quy trình nộp hồ sơ: Doanh nghiệp phải nộp hồ sơ cho Cục A05 theo Mẫu số 04a (đối với tổ chức) hoặc Mẫu số 04b (đối với cá nhân) trong vòng 60 ngày kể từ khi bắt đầu xử lý. Khi có thay đổi, doanh nghiệp phải cập nhật và nộp lại theo Mẫu số 05a hoặc 05b.

Trách nhiệm pháp lý của Bên Kiểm soát dữ liệu cá nhân khi xảy ra vi phạm là gì?

Khi xảy ra vi phạm, Bên Kiểm soát dữ liệu cá nhân phải đối mặt với các chế tài nghiêm khắc bao gồm xử phạt vi phạm hành chính, truy cứu trách nhiệm hình sự (tùy mức độ), và quan trọng nhất là phải bồi thường toàn bộ thiệt hại gây ra cho chủ thể dữ liệu.

Trách nhiệm của Bên Kiểm soát không chỉ dừng lại ở việc tuân thủ các quy trình, mà còn mở rộng đến việc gánh chịu hậu quả pháp lý khi có sự cố xảy ra. Đây là rủi ro lớn nhất mà các cấp quản lý và chủ doanh nghiệp đặc biệt quan tâm.

Bên Kiểm soát có phải chịu trách nhiệm bồi thường thiệt hại không?

Có. Điều 38 Khoản 6 Nghị định 13/2023/NĐ-CP và Điều 37 Khoản 1(g) Luật Bảo vệ dữ liệu cá nhân quy định rõ rằng Bên Kiểm soát dữ liệu cá nhân phải chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra, kể cả khi lỗi thuộc về Bên Xử lý dữ liệu.

Đây là một trong những quy định quan trọng nhất, nhấn mạnh vai trò chịu trách nhiệm cuối cùng của Bên Kiểm soát. Ngay cả khi doanh nghiệp đã thuê một Bên Xử lý dữ liệu chuyên nghiệp và vi phạm xảy ra do lỗi của bên đó, thì trước mặt chủ thể dữ liệu và pháp luật, Bên Kiểm soát vẫn là người chịu trách nhiệm bồi thường đầu tiên.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Để giảm thiểu rủi ro này, các doanh nghiệp với vai trò là Bên Kiểm soát cần phải có một điều khoản về bồi hoàn (indemnification) rất chặt chẽ trong hợp đồng xử lý dữ liệu. Điều khoản này cho phép Bên Kiểm soát có quyền yêu cầu Bên Xử lý bồi hoàn lại khoản tiền mà mình đã phải bồi thường cho chủ thể dữ liệu, nếu chứng minh được lỗi trực tiếp thuộc về Bên Xử lý. Đây là cơ chế pháp lý để chuyển giao một phần gánh nặng tài chính, nhưng không làm thay đổi trách nhiệm pháp lý ban đầu của Bên Kiểm soát.

Việc hiểu rõ và thực thi đầy đủ trách nhiệm của Bên Kiểm soát dữ liệu cá nhân là yêu cầu sống còn đối với mọi doanh nghiệp trong kỷ nguyên số. Đây không chỉ là việc tuân thủ pháp luật, mà còn là một chiến lược kinh doanh thông minh để xây dựng uy tín, bảo vệ tài sản và phát triển bền vững.

Các Câu Hỏi Thường Gặp Về Trách Nhiệm Của Bên Kiểm Soát Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Cổng thông tin điện tử Chính phủ.
• Báo cáo chi phí vi phạm dữ liệu của IBM: Cost of a Data Breach Report 2023.
• Cổng Dịch vụ công Bộ Công an.