Bên cạnh việc xử lý những đối tượng chủ động đánh cắp và mua bán thông tin, Nghị định 13/2023 về bảo vệ dữ liệu cá nhân vừa được ban hành cũng đã giải quyết một số vấn đề bằng cách quy định rõ ràng trách nhiệm của các bên trong việc kiểm soát và xử lý dữ liệu, đảm bảo rằng mỗi bên sẽ chịu trách nhiệm đầy đủ và phù hợp với vai trò của họ.
Trong bài viết dưới đây, Luật Thiên Thanh sẽ cung cấp các thông tin xoay quay nội dung này dựa trên quy định pháp luật.
– Để giải quyết vấn đề này, Nghị định 13/2023 đã phân loại các chủ thế có tham gia vào hoạt động xử lý dữ liệu cá nhân thành các bên sau: Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và bên kiểm soát và xử lý dữ liệu cá nhân (vừa là bên kiểm soát vừa là bên xử lý) và bên thứ ba.
– Bên kiểm soát dữ liệu cá nhân là bên xác nhận mục đích và phương tiện của quá trình xử lý dữ liệu, trong khi bên xử lý dữ liệu cá nhân là bên trực tiếp thực hiện việc xử lý dữ liệu dưới sự hướng dẫn và nhân danh bên kiểm soát.
– Nghị định 13/2023 quy định rằng dữ liệu phải được thu thập cho các mục đích cụ thể, rõ ràng, hợp pháp một cách vừa đủ. Vì vậy, mục đích (lý do xử lý), phương tiện (cách thức xử lý) được cho là rất quan trọng và người quyết định việc này là “bên kiểm soát”. Trong thực tế, những “phương tiện không thiết yếu” (như phần cứng hoặc phần mềm của việc xử lý dữ liệu) là chuyện do “bên xử lý” quyết định.
– Mối quan hệ giữa bên xử lý và bên kiểm soát dữ liệu được thiết lập dựa trên hợp đồng hoặc hành vi pháp lý khác và phải được lập thành văn bản, quy định rõ quyền, nghĩa vụ của các bên. Bên nào là bên kiểm soát hay bên xử lý không phụ thuộc vào danh xưng trong hợp đồng mà phụ thuộc vào nhiệm vụ thực tế của từng bên.
– Ngoài ra, bên xử lý dữ liệu chỉ được hoạt động khi có thỏa thuận với bên kiểm soát. Bên xử lý phải thực hiện đúng hợp đồng và chịu trách nhiệm trước thiệt hại do quá trình xử lý của mình gây ra. Sau khi hoàn tất việc xử lý dữ liệu, bên xử lý có trách nhiệm xóa và trả lại toàn bộ dữ liệu cho bên kiểm soát theo thỏa thuận.
Cụ thể tại Nghị định 13/2023/NĐ-CP quy định về trách nhiệm của Bên kiểm soát dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân như sau:
“Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.”
“Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.”
– Việc phân tách nghĩa vụ của các bên trong việc kiểm soát và Bên xử lý dữ liệu giúp giảm thiểu khả năng vi phạm dữ liệu xảy ra và làm rõ ai sẽ là người có trách nhiệm với hành vi vi phạm đó, từ đó hạn chế thời gian, chi phí dài hạn mà doanh nghiệp phải bỏ ra cho hoạt động tố tụng với cơ quan nhà nước.
Nếu bạn cần tìm hiểu, trao đổi thêm về nội dung bài viết hoặc mong muốn sử dụng dịch vụ tư vấn tuân thủ Nghị định 13 của Luật Thiên Thanh có thể trực tiếp liên hệ theo SĐT/Zalo: 0332.672.789.
Hà Nội : Phòng 302, tầng 3, 142 Lê Duẩn, phường Khâm Thiên, quận Đống Đa, Hà Nội
Hồ Chí Minh: Phòng 6.16 RiverGate Residence, số 151 – 155 đường Bến Vân Đồn, Phường 6, Quận 4, TP. HCM
Facebook: https://www.facebook.com/luatsuthuongmai
Hotline: 0332.672.789
Email: contact@luatthienthanh.vn
