1. Thế nào là Bên kiểm soát và xử lý dữ liệu cá nhân
Khoản 11 Điều 2 Nghị định 13/2023/NĐ-CP quy định:
“11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.”
Bên kiểm soát và xử lý dữ liệu cá nhân sẽ có cả trách nhiệm của Bên Xử lý dữ liệu cá nhân và Bên Kiểm soát dữ liệu cá nhân.
2. Nguyên tắc xử lý dữ liệu cá nhân
Để đảm bảo dữ liệu cá nhân được bảo vệ một cách an toàn, khi thực hiện việc xử lý dữ liệu cần đảm bảo các nguyên tắc quy định tại Điều 3 Nghị định 13/2023/NĐ-CP, như sau:
“Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
- Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
- Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
- Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
- Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
- Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
- Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.”
Việc tuân thủ các nguyên tắc trên trong khi xử lý dữ liệu cá nhân nhằm hạn chế các hành vi vi phạm, giúp dữ liệu cá nhân được đảm an toàn.
3. Trách nhiệm của doanh nghiệp kiểm soát dữ liệu cá nhân
Doanh nghiệp kiểm soát dữ liệu cá nhân là tổ chức quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Trong quá trình xử lý dữ liệu cá nhân, doanh nghiệp kiểm soát dữ liệu có trách nhiệm được quy định tại Điều 38 Nghị định 13/2023/NĐ-CP:
“Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
- Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
- Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
- Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
- Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
- Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
- Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
- Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.”
Việc quy định trách nhiệm của Bên Kiểm soát dữ liệu cá nhân nhằm hướng đến bảo vệ thông tin cá nhân được an toàn hơn khi tiến hành xử lý.
4. Trách nhiệm của doanh nghiệp xử lý dữ liệu cá nhân
Doanh nghiệp xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
“Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
- Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
- Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
- Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
- Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
- Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
- Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.”
Là tổ chức thực hiện việc xử lý dữ liệu cá nhân thông qua hợp đồng, thỏa thuận nên sau khi kết thúc xử lý dữ liệu, doanh nghiệp xử lý dữ liệu phải xóa, trả lại toàn bộ dữ liệu cho Bên Kiểm soát dữ liệu.
5. Trách nhiệm của các bên liên quan khi xử lý dữ liệu cá nhân
Ngoài các tổ chức kiểm soát dữ liệu, quản lý dữ liệu, kiểm soát và quản lý dữ liệu, các bên có liên quan đến dữ liệu cá nhân cũng có trách nhiệm trong việc bảo vệ dữ liệu. Cụ thể trách nhiệm của các tổ chức, cá nhân có liên quan được quy định tại Điều 42 Nghị định 13/2023/NĐ-CP:
“Điều 42. Trách nhiệm của tổ chức, cá nhân có liên quan
- Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
- Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
- Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
- Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.”
Như vậy, trách nhiệm đảm bảo an toàn dữ liệu cá nhân không chỉ của riêng các tổ chức kiểm soát, xử lý dữ liệu mà các bên liên quan cũng cần tham gia vào việc bảo vệ thông tin cá nhân của mình.
6. Tư vấn trách nhiệm về thu thập và xử lý dữ liệu cá nhân
Theo quy định tại các Điều 38, 39, 40 và 41 NĐ13/2023/NĐ-CP, để tránh bị xử phạt và xử lý hình sự (nếu vi phạm) các quy định về kiểm soát xử lý dữ liệu cá nhân của người lao động, các doanh nghiệp cần thiết rà soát, bổ sung, củng cố các tài liệu nội bộ nhằm nâng cao trách nhiệm của mình đối với vấn đề bảo vệ dữ liệu cá nhân của người lao động, mặt khác làm căn cứ chứng minh việc tuân thủ các quy định chặt chẽ của Nghị định mới, cũng như xử lý các vấn đề phát sinh (nếu có). Doanh nghiệp cần phải thực hiện xây dựng nội quy lao động cũng như soạn thảo hợp đồng lao động có những điều khoản về xử lý dữ liệu cá nhân.
Để giảm bớt thời gian cho doanh nghiệp, Apolat cung cấp các dịch vụ liên quan đến Xây dựng hoặc cập nhật thêm vào Nội quy lao động về quy định cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân; Soạn thảo hợp đồng có bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động liên quan đến xử lý dữ liệu cá nhân; Bổ sung thêm vào Hợp đồng trách nhiệm (nếu có) quy định về không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân.
Dữ liệu cá nhân bao gồm các thông tin quan trọng của cá nhân, cần được đảm bảo an toàn để quyền lợi của họ không bị ảnh hưởng. Do đó, các bên có liên quan đến dữ liệu đều có trách nhiệm nhất định để đảm bảo an toàn cho việc thực hiện xử lý dữ liệu cá nhân.
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Sở hữu trí tuệ. Vui lòng tham khảo về dịch vụ của chúng tôi Sở hữu trí tuệ và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.