Trách Nhiệm Của Bên Kiểm Soát Dữ Liệu Cá Nhân

DPO.VN Góc nhìn chuyên gia DPO.VN
Trach-nhiem-cua-Ben-kiem-soat-du-lieu-ca-nhan

Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân là nghĩa vụ pháp lý cao nhất, quyết định mục đích và phương tiện xử lý, đồng thời chịu trách nhiệm cuối cùng trước pháp luật. Để đảm bảo tuân thủ và vận hành an toàn, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp thực thi các nghĩa vụ của mình một cách chính xác. Vai trò pháp lý, nghĩa vụ cốt lõi, trách nhiệm giải trình.

9 trách nhiệm cốt lõi của Bên Kiểm soát dữ liệu cá nhân gồm những gì?

Bên Kiểm soát dữ liệu cá nhân phải tuân thủ 9 trách nhiệm chính: tuân thủ nguyên tắc xử lý, bảo đảm quyền của chủ thể dữ liệu, lựa chọn và giám sát Bên Xử lý, áp dụng biện pháp bảo vệ, lập hồ sơ đánh giá tác động, thông báo vi phạm, lưu trữ nhật ký hệ thống, chịu trách nhiệm về thiệt hại, và phối hợp với cơ quan chức năng.

9-trach-nhiem-cot-loi-cua-ben-kiem-soat-du-lieu-ca-nhan
9 trách nhiệm cốt lõi của Bên Kiểm soát dữ liệu cá nhân

Trong bối cảnh pháp lý ngày càng siết chặt của Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, vai trò của Bên Kiểm soát dữ liệu cá nhân (tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu) trở nên trọng yếu hơn bao giờ hết. Việc nắm vững và thực thi đầy đủ các nghĩa vụ không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý nghiêm trọng mà còn là nền tảng để xây dựng niềm tin với khách hàng và đối tác. Dưới đây là danh sách 9 trách nhiệm pháp lý cốt lõi mà mọi Bên Kiểm soát dữ liệu cá nhân phải thực hiện.

  1. Tuân thủ các nguyên tắc xử lý dữ liệu: Luôn đảm bảo mọi hoạt động xử lý dữ liệu cá nhân tuân thủ các nguyên tắc nền tảng.
  2. Bảo đảm các quyền của chủ thể dữ liệu: Xây dựng cơ chế và quy trình rõ ràng để chủ thể dữ liệu có thể thực hiện các quyền của mình một cách thuận lợi, bao gồm quyền được biết, đồng ý, truy cập, chỉnh sửa, xóa dữ liệu, và các quyền khác theo Điều 5 Nghị định 356/2025/NĐ-CP.
  3. Lựa chọn và giám sát Bên Xử lý dữ liệu: Lựa chọn Bên Xử lý dữ liệu cá nhân có năng lực và biện pháp bảo vệ phù hợp. Phải có hợp đồng hoặc thỏa thuận rõ ràng về việc xử lý dữ liệu, quy định chặt chẽ trách nhiệm của mỗi bên (Điều 7 Nghị định 356/2025/NĐ-CP).
  4. Áp dụng các biện pháp bảo vệ phù hợp: Thực hiện đồng bộ các biện pháp tổ chức, quản lý và kỹ thuật để bảo vệ dữ liệu cá nhân, ngăn chặn các hành vi truy cập trái phép, mất mát, hoặc phá hủy dữ liệu (Điều 9, 10, 11 Nghị định 356/2025/NĐ-CP).
  5. Lập và lưu trữ Hồ sơ đánh giá tác động: Phải lập, lưu trữ và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đến cơ quan chức năng theo quy định tại Điều 19 Nghị định 356/2025/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân.
  6. Thông báo khi có vi phạm: Thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 72 giờ kể từ khi phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân (Điều 28 Nghị định 356/2025/NĐ-CP).
  7. Ghi lại và lưu trữ nhật ký hệ thống: Ghi lại và lưu trữ nhật ký về quá trình xử lý dữ liệu cá nhân để phục vụ cho việc chứng minh sự tuân thủ (trách nhiệm giải trình).
  8. Chịu trách nhiệm về thiệt hại: Chịu trách nhiệm trước chủ thể dữ liệu về mọi thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra, bất kể thiệt hại đó do mình hay do Bên Xử lý dữ liệu gây ra.
  9. Phối hợp với cơ quan nhà nước: Chủ động phối hợp với Bộ Công an và các cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý vi phạm.

Làm thế nào để phân định rõ trách nhiệm giữa Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân?

Việc phân định trách nhiệm được thực hiện thông qua việc xác định rõ vai trò, lựa chọn cẩn thận Bên Xử lý dữ liệu, và xây dựng một hợp đồng xử lý dữ liệu chi tiết, trong đó Bên Kiểm soát chịu trách nhiệm cuối cùng trước chủ thể dữ liệu.

Trong hệ sinh thái dữ liệu, việc thuê ngoài các dịch vụ như marketing, lưu trữ đám mây, hay phân tích dữ liệu là rất phổ biến. Điều này tạo ra mối quan hệ pháp lý phức tạp giữa Bên Kiểm soát (người quyết định) và Bên Xử lý (người thực hiện theo chỉ thị). Phân biệt rõ ràng vai trò và trách nhiệm là yêu cầu bắt buộc để đảm bảo tuân thủ và giảm thiểu rủi ro pháp lý.

Hợp đồng phải quy định rõ loại dữ liệu, phạm vi, thời hạn và mục đích xử lý; các biện pháp bảo mật Bên Xử lý phải áp dụng; nghĩa vụ thông báo vi phạm; quyền kiểm tra, giám sát của Bên Kiểm soát; và trách nhiệm xóa/trả lại dữ liệu khi kết thúc hợp đồng.

Điều 7 Nghị định 356/2025/NĐ-CP nêu rõ Tổ chức, cá nhân chuyển giao dữ liệu cá nhân theo điểm a, điểm c, điểm d khoản 1 Điều 17 của Luật Bảo vệ dữ liệu cá nhân phải xác lập thỏa thuận về việc chuyển giao dữ liệu cá nhân với bên nhận dữ liệu cá nhân.

Một thoả thận chuyển giao dữ liệu cá nhân vớ bên nhận dữ liệu cá nhân phải nêu rõ các nội dung như sau:

Nội dung điều khoản Mục đích Căn cứ pháp lý (tham chiếu)
Mục đích chuyển giao Đảm bảo Bên xử lý dữ liệu cá nhân chỉ hành động theo chỉ thị của Bên nhận chuyển giao. Khoản 1 Điều 7 Nghị định 356/2025/NĐ-CP
Nghĩa vụ bảo mật Ràng buộc Bên xử lý dữ liệu cá nhân và nhân viên của họ phải giữ bí mật dữ liệu. Khoản 2 Điều 7 Nghị định 356/2025/NĐ-CP
Các biện pháp kỹ thuật và tổ chức Yêu cầu Bên xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ cụ thể. Khoản 3 Điều 7 Nghị định 356/2025/NĐ-CP
Thông báo vi phạm dữ liệu Yêu cầu Bên xử lý dữ liệu cá nhân phải thông báo ngay cho Bên Kiểm soát khi có sự cố. Điều 28 Nghị định 356/2025/NĐ-CP
Quyền kiểm tra và giám sát Cho phép Bên Kiểm soát thực hiện kiểm tra việc tuân thủ của Bên Xử lý. Nguyên tắc Trách nhiệm giải trình
Xóa hoặc trả lại dữ liệu Quy định rõ nghĩa vụ của Bên Xử lý khi kết thúc hợp đồng. Điều 15 và điều 16 Nghị định 356/2025/NĐ-CP

Quy trình xử lý yêu cầu của chủ thể dữ liệu cần được thực hiện như thế nào?

Doanh nghiệp phải thiết lập một quy trình chuẩn bao gồm các bước: Tiếp nhận và xác minh yêu cầu, xử lý yêu cầu trong thời hạn pháp luật quy định (thường là 72 giờ), và thông báo kết quả cho chủ thể dữ liệu, đồng thời ghi lại quá trình xử lý.

Việc đáp ứng các yêu cầu từ chủ thể dữ liệu không chỉ là nghĩa vụ pháp lý mà còn là một điểm chạm quan trọng để xây dựng lòng tin. Một quy trình xử lý hiệu quả, minh bạch sẽ thể hiện sự tôn trọng của doanh nghiệp đối với quyền riêng tư của khách hàng và nhân viên. Bên Kiểm soát dữ liệu cá nhân có trách nhiệm đảm bảo các quyền này được thực thi.

DPO.VN đề xuất một quy trình 4 bước để xử lý các yêu cầu của chủ thể dữ liệu:

  • Bước 1: Tiếp nhận và Xác minh
    Thiết lập các kênh tiếp nhận yêu cầu rõ ràng (ví dụ: email, biểu mẫu trên website). Khi nhận được yêu cầu, bước đầu tiên là xác minh danh tính của người yêu cầu để đảm bảo dữ liệu không bị tiết lộ cho sai đối tượng.
  • Bước 2: Phân loại và Chuyển giao
    Xác định loại yêu cầu (truy cập, chỉnh sửa, xóa, v.v.) và chuyển đến bộ phận hoặc cá nhân phụ trách. Ghi nhận yêu cầu vào hệ thống theo dõi.
  • Bước 3: Xử lý Yêu cầu trong Thời hạn
    Nghị định 356/2025/NĐ-CP đặt ra các mốc thời gian cụ thể cho việc xử lý yêu cầu. Ví dụ, xóa dữ liệu (khoản 4 điều 5) phải phản hồi trong thời hạn 02 ngày làm việc khi nhận được yêu cầu. Doanh nghiệp cần hành động nhanh chóng để đáp ứng các thời hạn này.
  • Bước 4: Phản hồi và Lưu trữ
    Thông báo cho chủ thể dữ liệu về kết quả xử lý yêu cầu. Ngay cả khi từ chối một yêu cầu (ví dụ, yêu cầu xóa dữ liệu nhưng pháp luật yêu cầu phải lưu trữ), doanh nghiệp cũng phải giải thích rõ lý do. Toàn bộ quá trình từ khi tiếp nhận đến khi phản hồi cần được ghi lại để phục vụ trách nhiệm giải trình.

Doanh nghiệp cần chuẩn bị những hồ sơ, tài liệu gì để chứng minh sự tuân thủ?

Để chứng minh sự tuân thủ, doanh nghiệp phải lập và duy trì các hồ sơ quan trọng bao gồm: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (nếu có), các chính sách bảo vệ dữ liệu nội bộ, hợp đồng xử lý dữ liệu và nhật ký hệ thống.

Nguyên tắc trách nhiệm giải trình (accountability) yêu cầu Bên Kiểm soát không chỉ tuân thủ mà còn phải có khả năng chứng minh sự tuân thủ đó trước cơ quan chức năng. Việc chuẩn bị sẵn sàng các hồ sơ, tài liệu là biện pháp phòng ngừa rủi ro hiệu quả nhất khi có hoạt động thanh tra, kiểm tra.

Khi nào phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân kể từ thời điểm bắt đầu xử lý dữ liệu, và phải nộp 01 bản chính cho Cục A05 – Bộ Công an trong vòng 60 ngày.

Điều 19 Nghị định 356/2025/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân quy định rất rõ về nghĩa vụ này. Đây là một tài liệu pháp lý quan trọng, phân tích toàn diện các hoạt động xử lý dữ liệu của doanh nghiệp và các biện pháp bảo vệ được áp dụng.

Nội dung hồ sơ: Doanh nghiệp cần sử dụng Mẫu 02a/02b để lập hồ sơ, bao gồm các thông tin chi tiết về:

  • Thông tin của Bên Kiểm soát dữ liệu.
  • Mục đích và các loại dữ liệu cá nhân được xử lý.
  • Thông tin về các tổ chức, cá nhân nhận dữ liệu (bao gồm cả việc chuyển dữ liệu cá nhân ra nước ngoài).
  • Thời gian xử lý, lưu trữ và xóa dữ liệu.
  • Mô tả các biện pháp bảo vệ dữ liệu được áp dụng.
  • Đánh giá mức độ ảnh hưởng và các biện pháp giảm thiểu rủi ro.

Quy trình nộp hồ sơ: Doanh nghiệp phải nộp hồ sơ cho Cục A05 theo Mẫu số 02a (đối với tổ chức) hoặc Mẫu số 02b (đối với cá nhân) trong vòng 60 ngày kể từ khi bắt đầu xử lý. Khi có thay đổi, doanh nghiệp phải cập nhật và nộp lại theo Mẫu số 03a hoặc 03b.

Trách nhiệm pháp lý của Bên Kiểm soát dữ liệu cá nhân khi xảy ra vi phạm là gì?

Khi xảy ra vi phạm, Bên Kiểm soát dữ liệu cá nhân phải đối mặt với các chế tài nghiêm khắc bao gồm xử phạt vi phạm hành chính, truy cứu trách nhiệm hình sự (tùy mức độ), và quan trọng nhất là phải bồi thường toàn bộ thiệt hại gây ra cho chủ thể dữ liệu.

Trách nhiệm của Bên Kiểm soát không chỉ dừng lại ở việc tuân thủ các quy trình, mà còn mở rộng đến việc gánh chịu hậu quả pháp lý khi có sự cố xảy ra. Đây là rủi ro lớn nhất mà các cấp quản lý và chủ doanh nghiệp đặc biệt quan tâm.

Bên Kiểm soát có phải chịu trách nhiệm bồi thường thiệt hại không?

Có. Điều 37 Khoản 1(g) Luật Bảo vệ dữ liệu cá nhân quy định rõ rằng Bên Kiểm soát dữ liệu cá nhân phải chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra, kể cả khi lỗi thuộc về Bên Xử lý dữ liệu.

Đây là một trong những quy định quan trọng nhất, nhấn mạnh vai trò chịu trách nhiệm cuối cùng của Bên Kiểm soát. Ngay cả khi doanh nghiệp đã thuê một Bên Xử lý dữ liệu chuyên nghiệp và vi phạm xảy ra do lỗi của bên đó, thì trước mặt chủ thể dữ liệu và pháp luật, Bên Kiểm soát vẫn là người chịu trách nhiệm bồi thường đầu tiên.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Để giảm thiểu rủi ro này, các doanh nghiệp với vai trò là Bên Kiểm soát cần phải có một điều khoản về bồi hoàn (indemnification) rất chặt chẽ trong hợp đồng xử lý dữ liệu. Điều khoản này cho phép Bên Kiểm soát có quyền yêu cầu Bên Xử lý bồi hoàn lại khoản tiền mà mình đã phải bồi thường cho chủ thể dữ liệu, nếu chứng minh được lỗi trực tiếp thuộc về Bên Xử lý. Đây là cơ chế pháp lý để chuyển giao một phần gánh nặng tài chính, nhưng không làm thay đổi trách nhiệm pháp lý ban đầu của Bên Kiểm soát.

Việc hiểu rõ và thực thi đầy đủ trách nhiệm của Bên Kiểm soát dữ liệu cá nhân là yêu cầu sống còn đối với mọi doanh nghiệp trong kỷ nguyên số. Đây không chỉ là việc tuân thủ pháp luật, mà còn là một chiến lược kinh doanh thông minh để xây dựng uy tín, bảo vệ tài sản và phát triển bền vững.

Các Câu Hỏi Thường Gặp Về Trách Nhiệm Của Bên Kiểm Soát Dữ Liệu Cá Nhân

1. Doanh nghiệp của tôi có phải là Bên Kiểm soát dữ liệu cá nhân không?

Trả lời: Nếu doanh nghiệp của bạn quyết định mục đích (tại sao thu thập dữ liệu) và phương tiện (làm thế nào để xử lý dữ liệu) thì bạn là Bên Kiểm soát dữ liệu cá nhân. Ví dụ, một công ty thương mại điện tử thu thập thông tin khách hàng để giao hàng và marketing là Bên Kiểm soát đối với dữ liệu đó.

2. Thời hạn nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là khi nào?

Trả lời: Theo Điều 19 Nghị định 356/2025/NĐ-CP, doanh nghiệp phải gửi 01 bản chính hồ sơ cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

3. Tôi có thể từ chối yêu cầu xóa dữ liệu của khách hàng không?

Trả lời: Có, nhưng chỉ trong một số trường hợp rất hạn chế. Ví dụ, khi pháp luật chuyên ngành (như luật kế toán, luật thuế) yêu cầu phải lưu trữ dữ liệu đó trong một khoảng thời gian nhất định, hoặc khi dữ liệu cần thiết cho mục đích quốc phòng, an ninh.

4. Nếu Bên Xử lý dữ liệu làm rò rỉ dữ liệu, Bên Kiểm soát có chịu trách nhiệm không?

Trả lời: Có. Bên Kiểm soát chịu trách nhiệm cuối cùng trước chủ thể dữ liệu và pháp luật về mọi thiệt hại. Tuy nhiên, Bên Kiểm soát có quyền yêu cầu Bên Xử lý bồi hoàn lại thiệt hại nếu có hợp đồng xử lý dữ liệu với điều khoản ràng buộc trách nhiệm rõ ràng.

5. Việc lưu trữ dữ liệu trên các nền tảng đám mây nước ngoài (Google Drive, AWS) có phải tuân thủ quy định chuyển dữ liệu ra nước ngoài không?

Trả lời: Có. Theo Điều 20 Luật Bảo vệ dữ liệu cá nhân quy định về chuyển dữ liệu cá nhân xuyên biên giới, việc xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ Việt Nam được coi là chuyển dữ liệu cá nhân ra nước ngoài. Do đó, doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Điều 18 Nghị định 356/2025/NĐ-CP, trừ các trường hợp được miễn trừ theo quy định.

Tìm Hiểu Thêm Về Bảo Vệ Dữ Liệu Cá Nhân Cùng DPO.VN

Để xây dựng một chiến lược tuân thủ pháp luật về bảo vệ dữ liệu cá nhân hiệu quả, đảm bảo an toàn thông tin và uy tín cho doanh nghiệp, hãy liên hệ với chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự đồng hành của Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp toàn diện và chuyên nghiệp nhất.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

  • Cổng thông tin điện tử Chính phủ.
  • Luật bảo vệ dữ liệu cá nhân số 91/2025/QH15.
  • Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành luật bảo vệ dữ liệu cá nhân.
  • Báo cáo chi phí vi phạm dữ liệu của IBM: Cost of a Data Breach Report 2023.
  • Cổng Dịch vụ công Bộ Công an.
Luat-Su-Nguyen-Tien-Hao

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả

Bài viết liên quan

doanh-nghiep-can-lam-gi-khi-de-lo-du-lieu-ca-nhan-khach-hang
16/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Doanh nghiệp cần làm gì khi để lộ dữ liệu cá nhân khách hàng?
doanh-nghiep-1-nguoi-lao-dong-co-phai-lap-ho-so-danh-gia-tac-dong-khong
16/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Doanh Nghiệp 1 Người Lao Động Có Phải Lập Hồ Sơ Đánh Giá Tác Động Không?
Huong-dan-lap-ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan
15/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Hướng Dẫn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân
10-viec-can-chuan-bi-khi-thanh-tra-bao-ve-du-lieu-ca-nhan
11/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
10 Việc Cần Chuẩn Bị Khi Thanh Tra Bảo Vệ Dữ Liệu Cá Nhân
Thoi-gian-thuc-hien-quyen-cua-chu-the-du-lieu-la-bao-lau
11/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Thời Gian Thực Hiện Quyền Của Chủ Thể Dữ Liệu Là Bao Lâu?
Chuyen-giao-va-mua-ban-du-lieu-ca-nhan-co-can-khu-nhan-dang-khong
11/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Chuyển Giao Và Mua Bán Dữ Liệu Cá Nhân Có Cần Khử Nhận Dạng Không?

1 bình luận về “Trách Nhiệm Của Bên Kiểm Soát Dữ Liệu Cá Nhân

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

DPO.VN DPO.VN
DPO.VN DPO.VN
DPO.VN DPO.VN