Bên thứ ba trong hoạt động xử lý dữ liệu cá nhân là ai?

Bên thứ ba trong hoạt động xử lý dữ liệu cá nhân là ai và vai trò của họ được pháp luật quy định ra sao là vấn đề cốt lõi mà mọi doanh nghiệp cần nắm vững để đảm bảo tuân thủ. Giải pháp toàn diện từ DPO.VN sẽ giúp doanh nghiệp xác định rõ các bên liên quan, quản lý rủi ro và thực hiện đúng trách nhiệm pháp lý. Hiểu rõ đối tác, cơ sở pháp lý, nghĩa vụ các bên.

Bên thứ ba trong hoạt động xử lý dữ liệu cá nhân là ai theo quy định của pháp luật Việt Nam?

Bên thứ ba là tổ chức, cá nhân độc lập được phép xử lý dữ liệu cá nhân, không bao gồm Chủ thể dữ liệu, Bên Kiểm soát, Bên Xử lý hay Bên Kiểm soát và xử lý dữ liệu cá nhân.

Trong bối cảnh pháp lý ngày càng chặt chẽ về bảo vệ dữ liệu, việc xác định chính xác vai trò của các bên liên quan là yêu cầu cơ bản đối với mọi tổ chức. Theo quy định tại Khoản 12, Điều 2 Nghị định 13/2023/NĐ-CP, Bên thứ ba được định nghĩa là “tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân”. Tương tự, Khoản 10, Điều 2 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026) cũng định nghĩa Bên thứ ba là một chủ thể độc lập tham gia vào việc xử lý dữ liệu cá nhân theo quy định của pháp luật.

Điểm mấu chốt để nhận diện Bên thứ ba là tính độc lập. Họ không xử lý dữ liệu *thay mặt* hay *theo chỉ thị* của Bên kiểm soát dữ liệu, mà xử lý dữ liệu cho mục đích riêng của họ, dựa trên một cơ sở pháp lý hợp lệ.

💡 DPO.VN chia sẻ một số ví dụ thực tế để làm rõ hơn:

• Cơ quan nhà nước có thẩm quyền: Khi cơ quan thuế, cơ quan công an, hoặc tòa án yêu cầu doanh nghiệp cung cấp dữ liệu cá nhân của nhân viên hoặc khách hàng để phục vụ công tác điều tra, thanh tra, xét xử theo quy định của pháp luật, các cơ quan này đóng vai trò là Bên thứ ba.
• Đối tác quảng cáo độc lập: Một công ty thương mại điện tử chia sẻ dữ liệu khách hàng (đã được sự đồng ý) cho một nền tảng mạng xã hội để nền tảng này tự phân tích và chạy các chiến dịch quảng cáo nhắm mục tiêu cho mục đích riêng của họ. Trong trường hợp này, nền tảng mạng xã hội là Bên thứ ba.
• Tổ chức kiểm toán độc lập: Một công ty kiểm toán tiếp nhận dữ liệu cá nhân của nhân viên từ một doanh nghiệp để thực hiện hoạt động kiểm toán tài chính theo luật định. Công ty kiểm toán này là một Bên thứ ba.

Làm thế nào để phân biệt Bên thứ ba và Bên xử lý dữ liệu cá nhân?

Bên xử lý dữ liệu hoạt động theo hợp đồng và chỉ thị của Bên kiểm soát, trong khi Bên thứ ba là một chủ thể độc lập, xử lý dữ liệu cho mục đích riêng của mình theo một cơ sở pháp lý khác.

Đây là điểm gây nhầm lẫn phổ biến nhất nhưng lại có ý nghĩa pháp lý vô cùng quan trọng. Việc phân biệt Bên kiểm soát và bên xử lý dữ liệu cá nhân với Bên thứ ba quyết định đến trách nhiệm, nghĩa vụ và các yêu cầu trong hợp đồng. Kinh nghiệm thực tiễn của DPO.VN cho thấy, sự khác biệt cốt lõi nằm ở quyền tự quyết về mục đích và phương tiện xử lý dữ liệu.

Cơ sở pháp lý nào cho phép doanh nghiệp chuyển giao dữ liệu cá nhân cho Bên thứ ba?

Việc chuyển giao dữ liệu cho Bên thứ ba phải dựa trên sự đồng ý rõ ràng của chủ thể dữ liệu hoặc trong các trường hợp đặc biệt được pháp luật cho phép mà không cần sự đồng ý.

Việc chuyển giao dữ liệu cá nhân cho một Bên thứ ba tiềm ẩn rủi ro cao, do đó pháp luật quy định rất chặt chẽ về các điều kiện để thực hiện. Doanh nghiệp không thể tùy tiện chia sẻ dữ liệu mà phải dựa trên một cơ sở pháp lý vững chắc.

1. Có sự đồng ý của chủ thể dữ liệu:

Đây là cơ sở pháp lý phổ biến và quan trọng nhất. Theo Điều 11 Nghị định 13/2023/NĐ-CP, sự đồng ý của chủ thể dữ liệu phải được thực hiện trên cơ sở tự nguyện và chủ thể phải biết rõ về việc dữ liệu của mình sẽ được cung cấp cho Bên thứ ba nào và cho mục đích gì. Ví dụ, một ứng dụng đặt xe phải thông báo rõ cho người dùng rằng thông tin chuyến đi có thể được chia sẻ với đối tác bảo hiểm để xử lý các vấn đề phát sinh và nhận được sự đồng ý của họ.

2. Các trường hợp không cần sự đồng ý của chủ thể dữ liệu:

Điều 17 Nghị định 13/2023/NĐ-CP và Điều 19 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định các trường hợp ngoại lệ mà doanh nghiệp có thể xử lý (bao gồm cả chuyển giao) dữ liệu mà không cần sự đồng ý, bao gồm:

• Trường hợp khẩn cấp: Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.
• An ninh quốc gia: Khi có yêu cầu từ cơ quan nhà nước có thẩm quyền để phục vụ phòng, chống tội phạm, khủng bố, hoặc trong tình trạng khẩn cấp về quốc phòng, an ninh quốc gia.
• Thực hiện nghĩa vụ theo hợp đồng: Khi việc chuyển giao là cần thiết để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức liên quan.
• Phục vụ hoạt động của cơ quan nhà nước: Khi việc xử lý dữ liệu đã được quy định theo luật chuyên ngành.

💡 DPO.VN nhấn mạnh, ngay cả trong các trường hợp không cần sự đồng ý, doanh nghiệp vẫn phải chịu trách nhiệm đảm bảo việc chuyển giao dữ liệu là cần thiết, hợp pháp và phải ghi nhận lại quá trình này để phục vụ cho trách nhiệm giải trình.

Bên thứ ba có những trách nhiệm và nghĩa vụ gì khi tiếp nhận và xử lý dữ liệu cá nhân?

Bên thứ ba phải tuân thủ đầy đủ các nguyên tắc bảo vệ dữ liệu, áp dụng các biện pháp bảo mật phù hợp, và chịu trách nhiệm pháp lý nếu để xảy ra vi phạm đối với dữ liệu đã nhận.

Khi một Bên thứ ba nhận dữ liệu cá nhân, họ không được miễn trừ trách nhiệm. Pháp luật yêu cầu họ phải gánh vác các nghĩa vụ tương tự như một bên xử lý dữ liệu độc lập để đảm bảo tính liên tục của chuỗi bảo vệ dữ liệu.

Cụ thể, trách nhiệm của Bên thứ ba bao gồm:

• Tuân thủ các nguyên tắc bảo vệ dữ liệu: Bên thứ ba phải xử lý dữ liệu nhận được theo các nguyên tắc cốt lõi quy định tại Điều 3 Nghị định 13/2023/NĐ-CP và Điều 3 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, bao gồm tính hợp pháp, giới hạn mục đích, tối thiểu hóa dữ liệu và bảo mật.
• Áp dụng biện pháp bảo vệ: Họ phải thực hiện các biện pháp bảo vệ dữ liệu cá nhân về quản lý và kỹ thuật phù hợp để ngăn chặn các hành vi vi phạm (Điều 26 Nghị định 13/2023/NĐ-CP). Nếu dữ liệu nhận được là dữ liệu nhạy cảm, các biện pháp bảo vệ phải được nâng cao hơn (Điều 28 Nghị định 13/2023/NĐ-CP).
• Thực hiện nghĩa vụ của Bên kiểm soát/xử lý: Trong nhiều trường hợp, sau khi nhận dữ liệu, Bên thứ ba sẽ trở thành Bên Kiểm soát dữ liệu cá nhân đối với dữ liệu đó cho mục đích riêng của mình. Khi đó, họ phải thực hiện đầy đủ các nghĩa vụ pháp lý, bao gồm cả việc lập và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu Đ24-DLCN-03.
• Chịu trách nhiệm khi có vi phạm: Nếu Bên thứ ba để xảy ra sự cố lộ, mất, hoặc xử lý sai mục đích dữ liệu đã nhận, họ sẽ phải chịu trách nhiệm trực tiếp trước pháp luật và chủ thể dữ liệu về các thiệt hại gây ra.

Doanh nghiệp cần làm gì để đánh giá rủi ro và kiểm soát Bên thứ ba một cách hiệu quả?

Doanh nghiệp cần thực hiện thẩm định kỹ lưỡng, xây dựng các thỏa thuận/hợp đồng chặt chẽ, chỉ chia sẻ dữ liệu ở mức tối thiểu cần thiết và giám sát việc tuân thủ của Bên thứ ba.

Chuyển giao dữ liệu cho Bên thứ ba luôn đi kèm với rủi ro. Để bảo vệ tổ chức của mình, doanh nghiệp cần triển khai một quy trình quản lý Bên thứ ba một cách bài bản. DPO.VN khuyến nghị một quy trình 4 bước sau:

1. Thẩm định năng lực tuân thủ (Due Diligence): Trước khi chuyển giao bất kỳ dữ liệu nào, doanh nghiệp cần thực hiện đánh giá, thẩm định Bên thứ ba. Việc này bao gồm kiểm tra chính sách bảo vệ dữ liệu, các chứng chỉ bảo mật (nếu có), và lịch sử tuân thủ của họ. Đặt câu hỏi: Họ có bộ phận chuyên trách bảo vệ dữ liệu không? Họ đã từng gặp sự cố dữ liệu nào chưa?
2. Xây dựng Hợp đồng hoặc Thỏa thuận chia sẻ dữ liệu (Data Sharing Agreement): Một thỏa thuận bằng văn bản là điều bắt buộc. Hợp đồng này cần quy định rõ ràng các điều khoản sau:
   • Phạm vi và mục đích: Nêu rõ loại dữ liệu nào được chia sẻ và Bên thứ ba chỉ được sử dụng cho mục đích gì.
   • Biện pháp bảo mật: Yêu cầu Bên thứ ba cam kết áp dụng các biện pháp bảo mật không thấp hơn các biện pháp mà doanh nghiệp đang áp dụng.
   • Thông báo vi phạm: Quy định nghĩa vụ của Bên thứ ba phải thông báo ngay lập tức cho doanh nghiệp khi phát hiện sự cố dữ liệu.
   • Quyền kiểm toán: Điều khoản cho phép doanh nghiệp hoặc một bên độc lập kiểm tra, đánh giá việc tuân thủ của Bên thứ ba.
   • Trách nhiệm bồi thường: Phân định rõ trách nhiệm bồi thường thiệt hại nếu vi phạm xảy ra từ phía Bên thứ ba.
3. Áp dụng nguyên tắc Tối thiểu hóa dữ liệu: Chỉ chia sẻ lượng dữ liệu cá nhân tuyệt đối cần thiết cho mục đích đã thỏa thuận. Tránh chia sẻ toàn bộ cơ sở dữ liệu khi Bên thứ ba chỉ cần một vài trường thông tin cụ thể.
4. Giám sát và Đánh giá định kỳ: Việc tuân thủ không phải là hoạt động một lần. Doanh nghiệp cần có cơ chế giám sát và xem xét lại mối quan hệ với Bên thứ ba theo định kỳ để đảm bảo họ vẫn đang duy trì các tiêu chuẩn bảo vệ dữ liệu đã cam kết.

Việc hiểu rõ và quản lý chặt chẽ các mối quan hệ với Bên thứ ba không chỉ là nghĩa vụ pháp lý mà còn là một chiến lược quản trị rủi ro thông minh, giúp bảo vệ tài sản dữ liệu và uy tín của doanh nghiệp trong dài hạn.

Các Câu Hỏi Thường Gặp Về Bên Thứ Ba Trong Xử Lý Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP Quy định về bảo vệ dữ liệu cá nhân.
• Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân.
• Thông tin Luật Bảo vệ dữ liệu cá nhân.
• Thủ tục liên quan đến bảo vệ dữ liệu cá nhân.