Phân biệt bên kiểm soát và bên xử lý dữ liệu cá nhân

Luật sư Nguyễn Tiến Hảo Góc nhìn chuyên gia DPO.VN
phan-biet-ben-kiem-soat-va-ben-xu-ly-du-lieu-ca-nhan

Phân biệt Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân là yêu cầu pháp lý cốt lõi, giúp doanh nghiệp xác định đúng vai trò và nghĩa vụ của mình theo quy định. Để đảm bảo tuân thủ toàn diện và an toàn, các chuyên gia tại DPO.VN cung cấp giải pháp chuyên sâu giúp bạn xác định vai trò và trách nhiệm pháp lý một cách chính xác nhất. Vai trò xử lý dữ liệu, định danh các bên, nghĩa vụ tuân thủ.

Doanh nghiệp của bạn là Bên Kiểm soát hay Bên Xử lý Dữ liệu cá nhân?

Bên Kiểm soát là bên quyết định mục đích và phương tiện xử lý dữ liệu cá nhân, trong khi Bên Xử lý là bên thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát thông qua một hợp đồng.

Việc xác định chính xác vai trò của doanh nghiệp trong một hoạt động xử lý dữ liệu cụ thể là bước đầu tiên và quan trọng nhất để tuân thủ Nghị định 13/2023/NĐ-CP và chuẩn bị cho Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 sắp có hiệu lực. Sự nhầm lẫn giữa hai vai trò này có thể dẫn đến việc thực hiện sai nghĩa vụ, thiếu sót trong các thủ tục pháp lý và đối mặt với rủi ro bị xử phạt nghiêm khắc.

Theo quy định tại Khoản 9 và Khoản 10, Điều 2 của Nghị định 13/2023/NĐ-CP, hai vai trò này được định nghĩa như sau:

  • Bên Kiểm soát dữ liệu cá nhân (Data Controller): Là tổ chức, cá nhân quyết định mục đích (tại sao?) và phương tiện (làm thế nào?) xử lý dữ liệu cá nhân. Đây là bên có quyền tự chủ cao nhất và chịu trách nhiệm chính trước chủ thể dữ liệu.
  • Bên Xử lý dữ liệu cá nhân (Data Processor): Là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát, thông qua một hợp đồng hoặc thỏa thuận. Bên Xử lý hoạt động theo sự chỉ dẫn của Bên Kiểm soát và không có quyền quyết định mục đích xử lý.
Tiêu chí Bên Kiểm soát Dữ liệu cá nhân Bên Xử lý Dữ liệu cá nhân
Quyền quyết định Quyết định mục đích và phương tiện xử lý dữ liệu. Không quyết định mục đích, chỉ xử lý theo chỉ dẫn.
Căn cứ pháp lý Điều 2, Khoản 9, Nghị định 13/2023/NĐ-CP. Điều 2, Khoản 10, Nghị định 13/2023/NĐ-CP.
Ví dụ thực tế Một công ty bán lẻ thu thập thông tin khách hàng để giao hàng và marketing. Một công ty cung cấp dịch vụ lưu trữ đám mây, lưu trữ dữ liệu cho công ty bán lẻ.

Trách nhiệm pháp lý cốt lõi của Bên Kiểm soát và Bên Xử lý khác nhau như thế nào?

Bên Kiểm soát chịu trách nhiệm toàn diện trước chủ thể dữ liệu về mọi hoạt động xử lý và phải thực hiện các thủ tục pháp lý quan trọng như nộp Hồ sơ đánh giá tác động, trong khi Bên Xử lý chỉ chịu trách nhiệm trong phạm vi hợp đồng và phải tuân thủ nghiêm ngặt chỉ dẫn.

Việc phân định rõ ràng trách nhiệm pháp lý giúp doanh nghiệp xây dựng quy trình tuân thủ hiệu quả và phân bổ nguồn lực hợp lý. Luật pháp Việt Nam quy định rất cụ thể về nghĩa vụ của từng bên.

trach-nhiem-phap-ly-cot-loi-cua-ben-kiem-soat-va-ben-xu-ly-du-lieu-ca-nhan
Trách nhiệm pháp lý cốt lõi của Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân

Bên Kiểm soát Dữ liệu Cá nhân có những trách nhiệm chính nào?

Bên Kiểm soát phải chịu trách nhiệm cuối cùng trước chủ thể dữ liệu, đảm bảo các quyền của họ, lựa chọn Bên Xử lý phù hợp, và bắt buộc phải lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho cơ quan chức năng.

Với vai trò là người ra quyết định, Bên Kiểm soát gánh vác nhiều trách nhiệm nặng nề nhất, được quy định tại Điều 38 Nghị định 13/2023/NĐ-CP và Điều 37 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Các nghĩa vụ cốt lõi bao gồm:

  • Chịu trách nhiệm trước chủ thể dữ liệu: Đây là trách nhiệm bao trùm và quan trọng nhất. Bên Kiểm soát phải bồi thường cho bất kỳ thiệt hại nào phát sinh từ quá trình xử lý dữ liệu, kể cả khi lỗi thuộc về Bên Xử lý (Điều 38.6 Nghị định 13/2023/NĐ-CP).
  • Bảo đảm quyền của chủ thể dữ liệu: Phải thiết lập cơ chế để chủ thể dữ liệu thực hiện các quyền của mình như quyền được biết, đồng ý, truy cập, chỉnh sửa, xóa dữ liệu (Điều 9 Nghị định 13/2023/NĐ-CP).
  • Lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Theo Điều 24 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (sử dụng Mẫu Đ24-DLCN-01) và gửi 01 bản chính đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày kể từ ngày bắt đầu xử lý.
  • Lựa chọn Bên Xử lý phù hợp: Phải thẩm định và lựa chọn Bên Xử lý có đủ biện pháp bảo vệ phù hợp (Điều 38.4 Nghị định 13/2023/NĐ-CP).
  • Thông báo vi phạm: Phải thông báo cho A05 trong vòng 72 giờ khi phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân (Điều 23 Nghị định 13/2023/NĐ-CP).

Bên Xử lý Dữ liệu Cá nhân phải tuân thủ những nghĩa vụ gì?

Bên Xử lý chỉ được xử lý dữ liệu theo đúng hợp đồng với Bên Kiểm soát, phải áp dụng các biện pháp bảo mật đầy đủ, và có trách nhiệm thông báo ngay cho Bên Kiểm soát khi phát hiện vi phạm.

Trách nhiệm của Bên Xử lý được giới hạn trong phạm vi hợp đồng với Bên Kiểm soát. Các nghĩa vụ này được quy định tại Điều 39 Nghị định 13/2023/NĐ-CP và Điều 37 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

  • Xử lý dữ liệu theo hợp đồng: Chỉ được tiếp nhận và xử lý dữ liệu sau khi có hợp đồng hoặc thỏa thuận với Bên Kiểm soát. Mọi hoạt động phải tuân thủ nghiêm ngặt các chỉ dẫn trong hợp đồng.
  • Áp dụng biện pháp bảo mật: Phải thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định tại Nghị định và các văn bản pháp luật khác.
  • Lập Hồ sơ đánh giá tác động (nếu có): Theo Điều 24.2 Nghị định 13/2023/NĐ-CP, Bên Xử lý cũng cần lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của riêng mình (sử dụng Mẫu Đ24-DLCN-02) trong trường hợp thực hiện hợp đồng với Bên Kiểm soát.
  • Thông báo vi phạm cho Bên Kiểm soát: Khi phát hiện có vi phạm, phải thông báo cho Bên Kiểm soát một cách nhanh nhất có thể (Điều 23.2 Nghị định 13/2023/NĐ-CP).
  • Xóa hoặc trả lại dữ liệu: Sau khi kết thúc xử lý dữ liệu theo hợp đồng, phải xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến là các doanh nghiệp nhỏ (Bên Xử lý) cho rằng chỉ cần làm theo yêu cầu của đối tác (Bên Kiểm soát) là đủ. Tuy nhiên, pháp luật yêu cầu cả Bên Xử lý cũng phải chủ động áp dụng các biện pháp bảo mật và có hồ sơ chứng minh sự tuân thủ. Việc này giúp giảm thiểu rủi ro pháp lý và xây dựng uy tín là một đối tác tin cậy.

Hợp đồng giữa Bên Kiểm soát và Bên Xử lý Dữ liệu cần có những nội dung gì?

Hợp đồng xử lý dữ liệu là một yêu cầu pháp lý bắt buộc, phải quy định rõ ràng về phạm vi, mục đích, thời hạn xử lý, các biện pháp bảo mật, quyền và nghĩa vụ của các bên để tạo ra một cơ sở pháp lý vững chắc.

Theo Điều 39.1 Nghị định 13/2023/NĐ-CP, Bên Xử lý dữ liệu chỉ được tiếp nhận dữ liệu sau khi có hợp đồng hoặc thỏa thuận với Bên Kiểm soát. Hợp đồng này không chỉ là một thỏa thuận thương mại mà còn là một công cụ pháp lý quan trọng để phân định trách nhiệm và đảm bảo tuân thủ.

DPO.VN khuyến nghị hợp đồng xử lý dữ liệu cá nhân cần bao gồm các điều khoản tối thiểu sau:

  • Đối tượng và thời hạn của hợp đồng: Xác định rõ các bên tham gia và thời gian hiệu lực.
  • Nội dung và phạm vi xử lý: Mô tả chi tiết các hoạt động xử lý dữ liệu mà Bên Xử lý sẽ thực hiện (ví dụ: thu thập, lưu trữ, sao chép).
  • Loại dữ liệu được xử lý: Liệt kê cụ thể các loại dữ liệu cá nhân cơ bản và/hoặc nhạy cảm sẽ được xử lý.
  • Mục đích xử lý: Ghi rõ mục đích xử lý dữ liệu mà Bên Xử lý phải tuân theo.
  • Nghĩa vụ của Bên Xử lý: Cam kết chỉ xử lý dữ liệu theo chỉ dẫn của Bên Kiểm soát, áp dụng các biện pháp bảo vệ dữ liệu cá nhân phù hợp, bảo mật thông tin, và hỗ trợ Bên Kiểm soát trong việc đáp ứng yêu cầu của chủ thể dữ liệu.
  • Quy định về nhà thầu phụ: Nêu rõ điều kiện nếu Bên Xử lý muốn thuê một bên khác (nhà thầu phụ) để thực hiện một phần công việc xử lý, bao gồm yêu cầu phải có sự chấp thuận trước của Bên Kiểm soát.
  • Quyền và nghĩa vụ của Bên Kiểm soát: Quyền kiểm tra, giám sát việc tuân thủ của Bên Xử lý.
  • Xử lý vi phạm và bồi thường thiệt hại: Quy định rõ trách nhiệm của mỗi bên khi xảy ra sự cố hoặc vi phạm.
  • Quy định sau khi chấm dứt hợp đồng: Yêu cầu Bên Xử lý phải xóa hoặc trả lại toàn bộ dữ liệu cá nhân.

Ai chịu trách nhiệm khi xảy ra sự cố vi phạm dữ liệu cá nhân?

Bên Kiểm soát chịu trách nhiệm cuối cùng trước chủ thể dữ liệu và phải thông báo cho cơ quan chức năng trong vòng 72 giờ. Bên Xử lý phải thông báo ngay cho Bên Kiểm soát và chịu trách nhiệm trước Bên Kiểm soát theo hợp đồng.

Phân định trách nhiệm khi xảy ra sự cố là một trong những nội dung quan trọng nhất mà các doanh nghiệp quan tâm để quản lý rủi ro. Điều 23 Nghị định 13/2023/NĐ-CP quy định một quy trình rõ ràng:

  1. Bên Xử lý phát hiện vi phạm: Phải thông báo cho Bên Kiểm soát “một cách nhanh nhất có thể”.
  2. Bên Kiểm soát nhận được thông báo hoặc tự phát hiện: Có trách nhiệm thông báo cho Cục A05 – Bộ Công an chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Việc thông báo được thực hiện theo Mẫu số 03 tại Phụ lục của Nghị định 13 (đã được cụ thể hóa thành Mẫu số 03a cho tổ chức và Mẫu số 03b cho cá nhân).
  3. Trách nhiệm pháp lý:
    • Trước chủ thể dữ liệu: Bên Kiểm soát chịu trách nhiệm cuối cùng về mọi thiệt hại gây ra cho chủ thể dữ liệu. Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát bồi thường.
    • Giữa các bên: Bên Xử lý chịu trách nhiệm trước Bên Kiểm soát về các thiệt hại do quá trình xử lý của mình gây ra. Bên Kiểm soát có thể yêu cầu Bên Xử lý bồi hoàn nếu đã bồi thường cho chủ thể dữ liệu do lỗi của Bên Xử lý.

Do đó, dù lỗi xuất phát từ đâu, Bên Kiểm soát vẫn là đầu mối chịu trách nhiệm trước pháp luật và người dân. Điều này nhấn mạnh tầm quan trọng của việc Bên Kiểm soát phải lựa chọn và giám sát chặt chẽ Bên Xử lý.

Khi nào một tổ chức được xem là Bên Kiểm soát và xử lý dữ liệu cá nhân?

Một tổ chức là Bên Kiểm soát và xử lý dữ liệu cá nhân khi họ vừa quyết định mục đích, phương tiện, vừa trực tiếp thực hiện toàn bộ các hoạt động xử lý mà không thuê ngoài. Khi đó, họ phải gánh vác toàn bộ trách nhiệm của cả hai vai trò.

Pháp luật Việt Nam còn định nghĩa một vai trò thứ ba, đó là “Bên Kiểm soát và xử lý dữ liệu cá nhân” (Điều 2.11 Nghị định 13/2023/NĐ-CP và Điều 2.9 Luật 91/2025). Đây là trường hợp phổ biến với nhiều doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ, doanh nghiệp khởi nghiệp.

Một tổ chức được xác định là Bên Kiểm soát và xử lý dữ liệu cá nhân khi họ tự mình làm tất cả.

Ví dụ: Một cửa hàng thời trang trực tuyến tự xây dựng website, quản lý máy chủ, thu thập thông tin khách hàng để xử lý đơn hàng, và tự thực hiện các chiến dịch email marketing bằng hệ thống nội bộ. Trong trường hợp này, cửa hàng đó đồng thời quyết định mục đích (bán hàng, marketing) và trực tiếp thực hiện các hoạt động xử lý (lưu trữ, gửi email) mà không thuê một bên thứ ba nào.

Khi ở vai trò này, theo Điều 40 Nghị định 13/2023/NĐ-CP, doanh nghiệp phải thực hiện đầy đủ trách nhiệm của cả Bên Kiểm soát và Bên Xử lý. Điều này có nghĩa là họ phải chịu trách nhiệm toàn diện từ A đến Z: từ việc lấy sự đồng ý của chủ thể dữ liệu, đảm bảo các quyền của họ, thực hiện các biện pháp bảo mật, cho đến việc lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (sử dụng Mẫu Đ24-DLCN-01).

Các Câu Hỏi Thường Gặp Về Phân Biệt Các Bên Xử Lý Dữ Liệu

1. Một doanh nghiệp có thể đồng thời là Bên Kiểm soát và Bên Xử lý dữ liệu không?

Trả lời: Có. Một doanh nghiệp có thể là Bên Kiểm soát đối với một hoạt động xử lý dữ liệu này (ví dụ: xử lý dữ liệu nhân viên của mình) nhưng lại là Bên Xử lý cho một hoạt động khác (ví dụ: cung cấp dịch vụ tính lương cho một công ty khác). Vai trò được xác định theo từng hoạt động xử lý dữ liệu cụ thể.

2. Khi sử dụng dịch vụ đám mây của Amazon Web Services (AWS) hoặc Google Cloud, vai trò của công ty tôi là gì?

Trả lời: Trong hầu hết các trường hợp, công ty của bạn là Bên Kiểm soát dữ liệu cá nhân. Bạn là người quyết định dữ liệu nào được tải lên, lưu trữ và xử lý trên nền tảng đó cho mục đích kinh doanh của mình. AWS hoặc Google Cloud đóng vai trò là Bên Xử lý dữ liệu, cung cấp hạ tầng và công cụ xử lý theo hợp đồng dịch vụ mà bạn đã ký kết với họ.

3. Nếu không có hợp đồng xử lý dữ liệu bằng văn bản thì sao?

Trả lời: Việc không có hợp đồng hoặc thỏa thuận bằng văn bản là một vi phạm nghiêm trọng quy định tại Điều 39.1 Nghị định 13/2023/NĐ-CP. Điều này tạo ra rủi ro pháp lý rất lớn cho cả hai bên vì không có cơ sở pháp lý rõ ràng để phân định trách nhiệm, đặc biệt khi xảy ra tranh chấp hoặc sự cố vi phạm dữ liệu.

4. Bên Xử lý dữ liệu có cần lập và nộp Hồ sơ đánh giá tác động không?

Trả lời: Có. Theo Điều 24.2 Nghị định 13, Bên Xử lý dữ liệu cũng phải tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát. Hồ sơ này sử dụng biểu mẫu riêng là Mẫu Đ24-DLCN-02. Tuy nhiên, nghĩa vụ nộp hồ sơ này cho Bộ Công an thuộc về Bên Kiểm soát.

5. Các định nghĩa về Bên Kiểm soát và Bên Xử lý tại Việt Nam có giống với GDPR của Châu Âu không?

Trả lời: Về cơ bản, các khái niệm này rất tương đồng với Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu. Cả hai đều dựa trên nguyên tắc bên nào quyết định mục đích và phương tiện thì là Bên Kiểm soát. Tuy nhiên, các nghĩa vụ cụ thể, thủ tục hành chính (như việc nộp hồ sơ cho A05), và mức xử phạt tại Việt Nam có những điểm đặc thù riêng mà doanh nghiệp phải tuân thủ.

Xác Định Đúng Vai Trò và Tuân Thủ Toàn Diện Cùng DPO.VN

Việc phân biệt và thực hiện đúng trách nhiệm của Bên Kiểm soát và Bên Xử lý dữ liệu là một thách thức pháp lý phức tạp. Để đảm bảo doanh nghiệp của bạn tuân thủ đúng quy định, giảm thiểu rủi ro và xây dựng niềm tin với khách hàng, hãy liên hệ với các chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự đồng hành của Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp tư vấn và thực thi toàn diện.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

  • Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
  • Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
  • European Data Protection Board (EDPB) – Guidelines on the concepts of controller and processor in the GDPR.
  • Thông tin về thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân.
  • Cổng thông tin điện tử Bộ Công an.
Luat-Su-Nguyen-Tien-Hao

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả

Bài viết liên quan

dpo-la-gi
17/10/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
DPO Là Gì? Vai Trò Và Trách Nhiệm Theo Luật Việt Nam
nghia-vu-cua-chu-the-du-lieu-ca-nhan-gom-nhung-gi
10/09/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Nghĩa vụ của chủ thể dữ liệu cá nhân gồm những gì?
doanh-nghiep-thuc-hien-luat-bao-ve-du-lieu-ca-nhan-nhu-the-nao
10/09/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Doanh nghiệp thực hiện Luật bảo vệ dữ liệu cá nhân như thế nào?
Quy-dinh-dac-thu-ve-bao-du-lieu-sinh-trac-hoc
30/07/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Quy định về bảo vệ dữ liệu sinh trắc học theo luật mới
Quan-ly-rui-ro-va-xu-ly-vi-pham-ve-bao-ve-du-lieu-ca-nhan
30/07/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Quản lý Rủi ro và Xử lý Vi phạm về Bảo vệ Dữ liệu cá nhân
Bao-ve-du-lieu-ca-nhan-trong-nganh-giao-duc
29/07/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN, Tin tức - Sự kiện
Bảo Vệ Dữ Liệu Cá Nhân Trong Ngành Giáo Dục
Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

DPO.VN DPO.VN
DPO.VN DPO.VN
DPO.VN DPO.VN