Trách nhiệm của Bên Xử lý dữ liệu cá nhân

Trách nhiệm của Bên Xử lý dữ liệu cá nhân là nền tảng pháp lý quan trọng, giúp các doanh nghiệp cung cấp dịch vụ hoạt động an toàn và xây dựng niềm tin với khách hàng. Để đảm bảo tuân thủ đầy đủ và giảm thiểu rủi ro, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp của bạn nắm vững mọi nghĩa vụ pháp lý. Nghĩa vụ tuân thủ, hợp đồng xử lý, bảo mật thông tin.

Các trách nhiệm cốt lõi của Bên Xử lý dữ liệu cá nhân theo pháp luật Việt Nam là gì?

Bên Xử lý dữ liệu cá nhân có 6 trách nhiệm chính: chỉ xử lý dữ liệu khi có hợp đồng, tuân thủ nghiêm ngặt chỉ định của Bên Kiểm soát, áp dụng các biện pháp bảo mật, chịu trách nhiệm về thiệt hại, xóa hoặc trả lại dữ liệu khi kết thúc hợp đồng, và phối hợp với cơ quan chức năng khi có yêu cầu.

Trong hệ sinh thái dữ liệu, vai trò của Bên Xử lý dữ liệu cá nhân (Data Processor) ngày càng trở nên phổ biến, đặc biệt với sự bùng nổ của các dịch vụ thuê ngoài như điện toán đám mây, marketing tự động, hay phân tích dữ liệu. Khác với Bên Kiểm soát dữ liệu (Data Controller) là người quyết định mục đích và phương tiện xử lý, Bên Xử lý chỉ thực hiện việc xử lý dữ liệu thay mặt và theo chỉ dẫn của Bên Kiểm soát. Pháp luật Việt Nam, cụ thể tại Điều 39 Nghị định 13/2023/NĐ-CP và Điều 37 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, đã quy định rất rõ ràng các nghĩa vụ pháp lý mà một Bên Xử lý dữ liệu phải tuân thủ để đảm bảo hoạt động an toàn, minh bạch và hợp pháp. Việc nắm vững các trách nhiệm này không chỉ là yêu cầu bắt buộc mà còn là yếu tố then chốt để xây dựng uy tín và lợi thế cạnh tranh trên thị trường.

1. Hợp đồng xử lý dữ liệu cá nhân cần có những điều khoản bắt buộc nào?

Hợp đồng phải nêu rõ phạm vi, mục đích xử lý, loại dữ liệu, thời hạn xử lý, các biện pháp bảo mật, quyền và nghĩa vụ của mỗi bên, cùng điều khoản về xử lý sự cố và chấm dứt hợp đồng.

Trách nhiệm đầu tiên và cơ bản nhất của Bên Xử lý dữ liệu được quy định tại khoản 1 Điều 39 Nghị định 13/2023/NĐ-CP là “chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân”. Hợp đồng này không chỉ là một thủ tục hình thức mà là văn bản pháp lý cốt lõi, phân định rõ ràng ranh giới trách nhiệm giữa hai bên.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Hợp đồng xử lý dữ liệu nên được coi như một “bản đồ chỉ dẫn”. Nó phải chi tiết hóa mọi khía cạnh để Bên Xử lý biết chính xác mình được làm gì và không được làm gì. Việc thiếu sót các điều khoản quan trọng có thể dẫn đến tranh chấp pháp lý phức tạp khi xảy ra sự cố.

Để đảm bảo tính pháp lý và sự rõ ràng, DPO.VN khuyến nghị hợp đồng xử lý dữ liệu cần bao gồm các nội dung tối thiểu sau:

• Chủ thể và đối tượng của hợp đồng: Xác định rõ vai trò của Bên Kiểm soát và Bên Xử lý.
• Phạm vi và mục đích xử lý: Mô tả chi tiết các hoạt động xử lý dữ liệu mà Bên Xử lý được phép thực hiện (ví dụ: lưu trữ, phân loại, phân tích).
• Loại dữ liệu cá nhân được xử lý: Liệt kê cụ thể các loại dữ liệu (cơ bản, nhạy cảm) sẽ được xử lý.
• Thời hạn xử lý: Quy định rõ thời gian bắt đầu và kết thúc của hoạt động xử lý dữ liệu.
• Quyền và nghĩa vụ của các bên: Phân định rõ trách nhiệm của Bên Kiểm soát (cung cấp dữ liệu hợp pháp, chỉ dẫn rõ ràng) và Bên Xử lý (tuân thủ chỉ dẫn, bảo mật dữ liệu).
• Biện pháp bảo vệ dữ liệu: Cam kết về việc áp dụng các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ dữ liệu.
• Điều khoản xử lý khi có vi phạm: Quy định rõ quy trình phối hợp và thông báo khi xảy ra sự cố rò rỉ dữ liệu.
• Điều khoản về xóa/trả lại dữ liệu: Quy định rõ nghĩa vụ của Bên Xử lý khi hợp đồng chấm dứt.

2. Bên xử lý dữ liệu phải tuân thủ phạm vi và giới hạn xử lý như thế nào?

Bên Xử lý chỉ được phép thực hiện các hoạt động xử lý dữ liệu theo đúng những gì đã được thỏa thuận trong hợp đồng với Bên Kiểm soát và không được sử dụng dữ liệu cho bất kỳ mục đích nào khác.

Đây là trách nhiệm xương sống, được nêu tại khoản 2 Điều 39 Nghị định 13/2023/NĐ-CP: “Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân”. Nguyên tắc này đảm bảo rằng Bên Xử lý hoạt động như một “cánh tay nối dài” của Bên Kiểm soát, không có quyền tự quyết định về mục đích xử lý.

Ví dụ, một công ty cung cấp dịch vụ email marketing (Bên Xử lý) được một cửa hàng thời trang (Bên Kiểm soát) thuê để gửi email quảng cáo đến danh sách khách hàng. Công ty email marketing chỉ được phép sử dụng danh sách này để gửi các email theo chiến dịch đã được phê duyệt. Họ tuyệt đối không được tự ý bán danh sách này cho bên thứ ba hoặc sử dụng nó để quảng cáo cho sản phẩm của chính mình. Nếu yêu cầu từ Bên Kiểm soát có dấu hiệu vi phạm pháp luật (ví dụ, yêu cầu gửi email spam hàng loạt), Bên Xử lý nên tạm dừng thực hiện và yêu cầu làm rõ để tránh liên đới trách nhiệm.

3. Doanh nghiệp cần áp dụng những biện pháp bảo mật kỹ thuật và tổ chức nào?

Bên Xử lý phải thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân được quy định tại Nghị định 13, bao gồm biện pháp quản lý, kỹ thuật, và các biện pháp cần thiết khác để đảm bảo an toàn cho dữ liệu.

Trách nhiệm bảo mật là nghĩa vụ không thể tách rời của Bên Xử lý. Khoản 3 Điều 39 Nghị định 13/2023/NĐ-CP yêu cầu Bên Xử lý phải “thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan”. Điều 26 của Nghị định này liệt kê các nhóm biện pháp chính mà doanh nghiệp cần áp dụng:

Trong quá trình tư vấn cho các doanh nghiệp, DPO.VN nhận thấy rằng nhiều Bên Xử lý thường chỉ tập trung vào biện pháp kỹ thuật mà xem nhẹ biện pháp quản lý. Tuy nhiên, rủi ro lớn nhất thường đến từ con người. Việc không có chính sách rõ ràng hoặc không đào tạo nhân viên đúng cách có thể tạo ra những lỗ hổng bảo mật nghiêm trọng hơn cả lỗi phần mềm.

4. Quy trình thông báo cho Bên Kiểm soát khi có sự cố vi phạm dữ liệu ra sao?

Khi phát hiện có vi phạm, Bên Xử lý phải thông báo cho Bên Kiểm soát dữ liệu một cách nhanh nhất có thể để Bên Kiểm soát kịp thời thực hiện nghĩa vụ báo cáo cho cơ quan chức năng trong vòng 72 giờ.

Điều 23.2 Nghị định 13/2023/NĐ-CP quy định một trách nhiệm rất quan trọng của Bên Xử lý dữ liệu: “Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân”.

Mục đích của quy định này là để Bên Kiểm soát, với tư cách là người chịu trách nhiệm chính trước chủ thể dữ liệu và pháp luật, có đủ thời gian để thực hiện nghĩa vụ của mình. Theo Điều 23.1, Bên Kiểm soát phải thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất là 72 giờ sau khi xảy ra vi phạm. Do đó, sự chậm trễ từ Bên Xử lý có thể đẩy Bên Kiểm soát vào tình thế vi phạm pháp luật.

Quy trình thông báo cần được quy định rõ trong hợp đồng, bao gồm:

• Thời gian thông báo: Cụm từ “nhanh nhất có thể” nên được cụ thể hóa, ví dụ: “không muộn hơn 24 giờ kể từ khi phát hiện”.
• Kênh thông báo: Xác định kênh liên lạc chính thức (email, điện thoại) và người chịu trách nhiệm tiếp nhận thông tin của Bên Kiểm soát.
• Nội dung thông báo: Cung cấp các thông tin ban đầu về bản chất của vi phạm, số lượng chủ thể dữ liệu bị ảnh hưởng, các rủi ro tiềm tàng và biện pháp đã được áp dụng để khắc phục.

5. Nghĩa vụ xóa hoặc trả lại dữ liệu khi kết thúc hợp đồng được thực hiện như thế nào?

Sau khi kết thúc xử lý dữ liệu theo hợp đồng, Bên Xử lý có nghĩa vụ phải xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát, không được giữ lại bất kỳ bản sao nào trừ khi pháp luật có quy định khác.

Vòng đời của dữ liệu không kéo dài vô tận. Khoản 5 Điều 39 Nghị định 13/2023/NĐ-CP quy định rõ ràng trách nhiệm của Bên Xử lý sau khi hoàn thành công việc: “Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu”.

Đây là một nghĩa vụ quan trọng để đảm bảo dữ liệu không bị lưu trữ không cần thiết, giảm thiểu rủi ro bị lạm dụng hoặc rò rỉ trong tương lai. Hợp đồng xử lý dữ liệu cần quy định cụ thể:

• Lựa chọn của Bên Kiểm soát: Bên Kiểm soát có quyền chọn nhận lại dữ liệu, yêu cầu xóa hoàn toàn, hoặc cả hai.
• Hình thức trả lại: Dữ liệu sẽ được trả lại dưới định dạng nào, thông qua phương thức nào để đảm bảo an toàn.
• Phương pháp xóa dữ liệu: Việc xóa phải đảm bảo dữ liệu không thể khôi phục được. Ví dụ, sử dụng các phương pháp ghi đè dữ liệu (data overwriting) hoặc phá hủy vật lý các thiết bị lưu trữ.
• Xác nhận hoàn thành: Bên Xử lý nên cung cấp một văn bản xác nhận rằng họ đã hoàn thành việc xóa hoặc trả lại dữ liệu theo yêu cầu.

Làm thế nào để Bên Xử lý Dữ liệu Cá nhân chứng minh sự tuân thủ?

Bên Xử lý chứng minh sự tuân thủ bằng cách lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, duy trì nhật ký hệ thống, và sẵn sàng cung cấp tài liệu cho Bên Kiểm soát hoặc cơ quan chức năng khi được yêu cầu.

Mặc dù trách nhiệm giải trình chính thuộc về Bên Kiểm soát, Bên Xử lý cũng có nghĩa vụ chứng minh rằng mình đã thực hiện đúng các cam kết và quy định pháp luật. Việc này không chỉ để đối phó với kiểm tra mà còn là một phần của quản trị rủi ro và xây dựng uy tín.

Theo Điều 24.2 Nghị định 13/2023/NĐ-CP, Bên Xử lý dữ liệu cá nhân phải tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát. Hồ sơ này, theo Mẫu Đ24-DLCN-02, là bằng chứng quan trọng nhất, ghi lại chi tiết các hoạt động xử lý, biện pháp bảo vệ, và đánh giá rủi ro.

Ngoài ra, các hành động sau cũng góp phần chứng minh sự tuân thủ:

• Lưu trữ hợp đồng: Giữ bản sao của tất cả các hợp đồng xử lý dữ liệu.
• Duy trì nhật ký hệ thống: Ghi lại các hoạt động truy cập, thay đổi, xóa dữ liệu.
• Tài liệu hóa các biện pháp bảo mật: Có văn bản mô tả các chính sách, quy trình, và cấu hình kỹ thuật bảo mật.
• Lưu trữ bằng chứng về đào tạo nhân viên: Ghi lại danh sách nhân viên đã tham gia các khóa đào tạo về bảo vệ dữ liệu.

Rủi ro pháp lý nào doanh nghiệp đối mặt khi không hoàn thành trách nhiệm?

Doanh nghiệp có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự, phải bồi thường thiệt hại cho Bên Kiểm soát và chủ thể dữ liệu, và chịu tổn thất nghiêm trọng về uy tín kinh doanh.

Việc không tuân thủ các nghĩa vụ của Bên Xử lý dữ liệu sẽ dẫn đến những hậu quả pháp lý và tài chính nghiêm trọng. Điều 4 Nghị định 13/2023/NĐ-CP và Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều quy định các chế tài xử lý vi phạm.

• Chịu trách nhiệm trước Bên Kiểm soát: Bên Xử lý sẽ phải bồi thường cho Bên Kiểm soát nếu hành vi vi phạm của mình gây ra thiệt hại.
• Chịu trách nhiệm trước chủ thể dữ liệu: Khoản 4 Điều 39 Nghị định 13/2023/NĐ-CP nêu rõ: “Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra”. Điều này có nghĩa là chủ thể dữ liệu có thể khởi kiện trực tiếp Bên Xử lý.
• Xử phạt hành chính: Cơ quan chức năng có thể áp dụng các mức phạt tiền nặng, đặc biệt với các hành vi như mua bán dữ liệu cá nhân trái phép.
• Mất uy tín: Một sự cố vi phạm dữ liệu có thể phá hủy hoàn toàn niềm tin của khách hàng và đối tác, gây thiệt hại kinh doanh lâu dài.

Tuân thủ các trách nhiệm của Bên Xử lý dữ liệu không chỉ là một nghĩa vụ pháp lý mà còn là một chiến lược kinh doanh thông minh. Bằng cách thực hiện nghiêm túc các quy định, doanh nghiệp không chỉ bảo vệ chính mình khỏi các rủi ro mà còn xây dựng một hình ảnh chuyên nghiệp, đáng tin cậy trong mắt khách hàng và đối tác.

Các Câu Hỏi Thường Gặp Về Trách Nhiệm Của Bên Xử Lý Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng 2018.
• Hướng dẫn thi hành Nghị định 53/2022/NĐ-CP.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• International Association of Privacy Professionals (IAPP): Global Privacy Laws and Regulations.