Nghị định 13/2023/NĐ-CP đưa ra nhiều khái niệm liên quan đến Bên xử lý dữ liệu cá nhân, Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba. Vậy trong quá trình xử lý dữ liệu cá nhân, các bên nêu trên đóng vai trò như thế nào? Bài viết hôm nay sẽ giúp doanh nghiệp xác định cụ thể vai trò của mình trong quá trình xử lý dữ liệu cá nhân. Cùng tham khảo sơ đồ tư duy dưới đây để hình dung cụ thể mối quan hệ giữa các vai trò:
1. Chủ thể dữ liệu
Căn cứ theo Quy định tại Khoản 6 Điều 2 Nghị định 13/2023/NĐ-CP, Chủ thể dữ liệu cá nhân là cá nhân được dữ liệu cá nhân phản ánh. Theo đó, họ là những người có dữ liệu cá nhân được xử lý bởi các bên liên quan. Thông thường chủ thể dữ liệu là khách hàng sử dụng sản phẩm, dịch vụ, hoặc có thể là người lao động, nói chung lại là những người cung cấp thông tin cá nhân của mình cho doanh nghiệp.
2. Bên Kiểm soát dữ liệu cá nhân
Bên kiểm soát dữ liệu cá nhân theo quy định của Nghị định 13/2023/NĐ-CP là cá nhân hoặc tổ chức có quyền quyết định về việc thu thập, sử dụng, lưu trữ và xử lý dữ liệu cá nhân. Đây là bên có quyền chủ động và chịu trách nhiệm về việc xác định mục đích và phương pháp xử lý dữ liệu cá nhân.
2.1 Vai trò của Bên kiểm soát dữ liệu trong quá trình xử lý dữ liệu cá nhân:
* Quyết định mục đích và phương thức xử lý:
Theo quy định của Nghị định 13, bên kiểm soát dữ liệu là đơn vị quyết định việc thu thập và xử lý dữ liệu cá nhân. Điều này bao gồm xác định mục đích cụ thể cho việc sử dụng dữ liệu cá nhân, chẳng hạn như phục vụ cho các hoạt động kinh doanh, tiếp thị, nghiên cứu, hoặc quản lý.
* Thu thập và quản lý dữ liệu cá nhân:
Bên kiểm soát dữ liệu có trách nhiệm thu thập dữ liệu cá nhân từ các chủ thể dữ liệu (tức là cá nhân mà thông tin dữ liệu của họ được thu thập). Việc này chỉ được thực hiện sau khi đã thu thập sự đồng ý rõ ràng và cụ thể từ chủ thể dữ liệu, theo Điều 11 của Nghị định 13.
* Bảo vệ quyền lợi của chủ thể dữ liệu:
Bên kiểm soát dữ liệu có trách nhiệm đảm bảo rằng các quyền của chủ thể dữ liệu (quyền truy cập, chỉnh sửa, xóa bỏ, hạn chế xử lý, và bảo mật dữ liệu) được tôn trọng và bảo vệ. Nếu có vi phạm về bảo mật hoặc quyền riêng tư, bên kiểm soát phải thông báo cho chủ thể dữ liệu và cơ quan có thẩm quyền trong thời gian quy định.
* Chỉ định và giám sát bên xử lý dữ liệu:
Trong nhiều trường hợp, bên kiểm soát dữ liệu có thể ủy quyền cho bên xử lý dữ liệu thực hiện các hoạt động kỹ thuật liên quan đến xử lý dữ liệu, chẳng hạn như lưu trữ, chỉnh sửa, hoặc truyền tải dữ liệu. Tuy nhiên, bên kiểm soát dữ liệu vẫn chịu trách nhiệm pháp lý cuối cùng về việc đảm bảo dữ liệu được xử lý an toàn và đúng quy định.
2.2 Mối tương quan giữa Bên kiểm soát dữ liệu và các bên liên quan
* Mối quan hệ với Chủ thể dữ liệu:
Bên kiểm soát dữ liệu có mối quan hệ trực tiếp với chủ thể dữ liệu vì họ là bên thu thập dữ liệu từ chủ thể và quyết định mục đích xử lý dữ liệu. Chủ thể dữ liệu có quyền cung cấp hoặc từ chối cung cấp thông tin, và bên kiểm soát phải đảm bảo mọi hành động liên quan đến xử lý dữ liệu đều được thực hiện sau khi có sự đồng ý rõ ràng từ chủ thể dữ liệu. Ngoài ra, bên kiểm soát phải đảm bảo bảo mật và quyền riêng tư của dữ liệu, đồng thời cung cấp phương thức để chủ thể có thể truy cập, chỉnh sửa, hoặc xóa bỏ dữ liệu của họ.
* Mối quan hệ với Bên xử lý dữ liệu:
Bên kiểm soát dữ liệu thường hợp tác với bên xử lý dữ liệu trong các hoạt động xử lý dữ liệu cá nhân. Trong mối quan hệ này, bên kiểm soát đóng vai trò chỉ đạo, đưa ra hướng dẫn và chỉ dẫn về việc xử lý dữ liệu, trong khi bên xử lý thực hiện các hoạt động kỹ thuật theo yêu cầu của bên kiểm soát. Bên kiểm soát có trách nhiệm đảm bảo rằng bên xử lý tuân thủ các quy định pháp lý và áp dụng các biện pháp bảo mật cần thiết để bảo vệ dữ liệu cá nhân.
Mặc dù bên xử lý thực hiện các hoạt động kỹ thuật, nhưng bên kiểm soát vẫn là đơn vị chịu trách nhiệm chính về mọi vi phạm liên quan đến quyền riêng tư và bảo mật dữ liệu.
3. Bên xử lý dữ liệu cá nhân
Bên Xử lý dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP là tổ chức hoặc cá nhân thực hiện các hoạt động xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát dữ liệu cá nhân. Bên xử lý dữ liệu không có quyền quyết định về mục đích và phương thức xử lý dữ liệu mà chỉ thực hiện các nhiệm vụ theo chỉ dẫn của bên kiểm soát.
3.1 Vai trò của Bên xử lý dữ liệu trong quá trình xử lý dữ liệu cá nhân:
* Thực hiện các hoạt động xử lý kỹ thuật:
Bên Xử lý dữ liệu thực hiện các công việc liên quan đến thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân. Tuy nhiên, họ không có quyền quyết định về mục đích sử dụng dữ liệu mà phải tuân thủ chỉ dẫn cụ thể từ Bên Kiểm soát dữ liệu.
* Tuân thủ các biện pháp bảo mật:
Bên xử lý dữ liệu phải thực hiện các biện pháp bảo vệ an toàn dữ liệu, bao gồm mã hóa, kiểm soát truy cập, và áp dụng các biện pháp kỹ thuật và tổ chức nhằm đảm bảo dữ liệu không bị xâm phạm, rò rỉ hoặc truy cập trái phép. Điều này bao gồm tuân thủ các quy định mà bên kiểm soát đã yêu cầu để đảm bảo dữ liệu cá nhân được bảo vệ.
* Không được chia sẻ hoặc sử dụng dữ liệu cho mục đích riêng:
Bên xử lý dữ liệu không được phép chia sẻ, chuyển nhượng hoặc sử dụng dữ liệu cho các mục đích khác ngoài phạm vi công việc đã được chỉ định bởi bên kiểm soát. Họ chỉ đóng vai trò như một đơn vị hỗ trợ kỹ thuật và không có quyền sở hữu hay điều hành dữ liệu cá nhân.
* Báo cáo và hợp tác với bên kiểm soát:
Trong trường hợp xảy ra vi phạm bảo mật dữ liệu, bên xử lý phải báo cáo ngay lập tức cho bên kiểm soát và hợp tác trong việc khắc phục sự cố cũng như thực hiện các biện pháp giảm thiểu rủi ro.
3.2 Mối tương quan giữa Bên xử lý dữ liệu, Chủ thể dữ liệu và Bên kiểm soát dữ liệu:
* Mối quan hệ với Chủ thể dữ liệu:
Bên xử lý dữ liệu không có tương tác trực tiếp với Chủ thể dữ liệu, bởi vì họ chỉ thực hiện nhiệm vụ được giao từ bên kiểm soát. Chủ thể dữ liệu có thể không biết hoặc không trực tiếp liên hệ với bên xử lý, và tất cả các yêu cầu của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa bỏ dữ liệu) đều được chuyển đến bên kiểm soát để xử lý. Bên xử lý chỉ tham gia vào việc thực hiện các chỉ thị do bên kiểm soát ban hành liên quan đến các yêu cầu đó.
* Mối quan hệ với Bên kiểm soát dữ liệu:
Bên xử lý dữ liệu thực hiện các hoạt động theo sự ủy quyền và hướng dẫn từ Bên kiểm soát dữ liệu. Mọi quyết định về mục đích và phương thức xử lý dữ liệu đều phải được bên kiểm soát phê duyệt. Bên kiểm soát có trách nhiệm giám sát và đảm bảo rằng bên xử lý tuân thủ đúng các chỉ dẫn và quy định pháp luật về bảo mật dữ liệu. Đồng thời, bên xử lý dữ liệu phải thực hiện các biện pháp bảo mật và hỗ trợ bên kiểm soát trong trường hợp có các vấn đề phát sinh liên quan đến dữ liệu.
4. Bên thứ ba
Bên thứ ba theo Nghị định 13/2023/NĐ-CP là tổ chức hoặc cá nhân không phải là ba đối tượng kể trên nhưng lại được phép xử lý dữ liệu cá nhân.
Kết luận
Dựa vào các phân tích nêu trên, doanh nghiệp cần đặt mình trong hệ quy chiếu để xác định xem mình đang ở vị trí nào trong quy trình xử lý dữ liệu cá nhân, từ đó đặt ra các trách nhiệm của mình để tuân thủ đúng quy định của Nghị định 13.
Trên đây là những chia sẻ của tôi về việc Xác định vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân.
Nếu bạn có bất kỳ câu hỏi hay thắc mắc nào liên quan đến tuân thủ quy định bảo vệ dữ liệu cá nhân, đừng ngần ngại liên hệ với tôi qua email: info@chuyengiaphaply.com
