1. Mối quan hệ giữa bên kiểm soát và bên xử lý dữ liệu cá nhân
Khoản 9, 10 Điều 2 Nghị định 13/2023/NĐ-CP quy định, “Bên kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân”. Trong khi đó, “Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho bên kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với bên kiểm soát dữ liệu”.
Ví dụ:
- Công ty A (bên sử dụng lao động) thuê công ty B (bên cung cấp dịch vụ trả lương) qua một hợp đồng để trả lương cho nhân viên của A. A quyết định mục đích (trả lương cho nhân viên của A) và phương tiện (trả cho ai, số tiền bao nhiêu, vào ngày nào, ngân hàng nào, dữ liệu sẽ được lưu trữ trong bao lâu, dữ liệu nào sẽ được tiết lộ cho cơ quan thuế,…). B có trách nhiệm làm theo yêu cầu của A và không được dùng dữ liệu cho mục đích khác.
- Giả sử, gộp bên A và bên B thành bên C. Khi đó bên C sẽ quyết định cả mục đích, phương tiện, tiến hành xử lý dữ liệu và trả lương cho nhân viên của mình. Khi ấy, bên C được gọi là bên kiểm soát và xử lý dữ liệu cá nhân.
Theo đó, bên A là bên kiểm soát dữ liệu cá nhân, bên B là bên xử lý dữ liệu cá nhân, bên C là bên kiểm soát và xử lý dữ liệu cá nhân. Và cả ba bên đều chịu trách nhiệm pháp lý đối với việc quản lý, xử lý dữ liệu.
Mối quan hệ giữa bên xử lý và bên kiểm soát dữ liệu được thiết lập dựa trên hợp đồng hoặc hành vi pháp lý khác và phải được lập thành văn bản, quy định rõ quyền, nghĩa vụ của các bên. Bên nào là bên kiểm soát hay bên xử lý không phụ thuộc vào danh xưng trong hợp đồng mà phụ thuộc vào nhiệm vụ thực tế của từng bên.
Bên Kiểm soát dữ liệu đóng vai trò lớn hơn trong việc thông báo và hợp tác với các cơ quan nếu có sự vi phạm dữ liệu cá nhân, là người chịu trách nhiệm chính. Bên Kiểm soát dữ liệu chịu trách nhiệm cuối cùng trước chủ thể dữ liệu và có nghĩa vụ chứng minh rằng đã có được sự đồng ý trước cho tất cả các hoạt động xử lý và có trách nhiệm hỗ trợ Bên Kiểm soát.
2. Phân biệt
|
Tiêu chí
|
Bên kiểm soát dữ liệu cá nhân
|
Bên xử lý dữ liệu cá nhân
|
|
Khái niệm
|
Bên kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
(Khoản 9 Điều 2 Nghị định 13/2023/NĐ-CP)
|
Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho bên kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với bên kiểm soát dữ liệu.
(Khoản 10 Điều 2 Nghị định 13/2023/NĐ-CP)
|
|
Việc cung cấp dữ liệu cá nhân
|
- Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu.
- Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
- Bên kiểm soát dữ liệu cá nhân tiếp nhận yêu cầu cung cấp dữ liệu cá nhân, theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu. Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, bên kiểm soát dữ liệu có trách nhiệm giải quyết yêu cầu cung cấp dữ liệu cá nhân
|
Bên xử lý dữ liệu cá nhân không được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác (trừ khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân)
|
|
Chỉnh sửa dữ liệu cá nhân
|
Bên Kiểm soát dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành.
|
Bên Xử lý dữ liệu cá nhân chỉ được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
|
|
Xóa dữ liệu cá nhân
|
Bên kiểm soát dữ liệu cá nhân được xóa dữ liệu cá nhân khi được chủ thể dữ liệu yêu cầu trong các trường hợp:
- Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
- Rút lại sự đồng ý;
- Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
- Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
- Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
|
Bên xử lý dữ liệu cá nhân không có quyền xóa dữ liệu cá nhân
|
|
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
|
Khi phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Bên Kiểm soát dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
|
Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
|
|
Việc đánh giá tác động xử lý dữ liệu cá nhân
|
Bên kiểm soát dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động xử lý cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
|
Bên xử lý dữ liệu cá nhân chỉ tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân
|
|
Về trách nhiệm của các bên
|
- Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
- Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
- Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân
- Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
- Bảo đảm các quyền của chủ thể dữ liệu (quyền được biết; quyền đồng ý; quyền truy cập; quyền rút lại sự đồng ý; quyền xóa dữ liệu; quyền hạn chế xử lý dữ liệu; quyền cung cấp dữ liệu; quyền phản đối xử lý dữ liệu; quyền khiếu nại, tố cáo, khởi kiện; quyền yêu cầu bồi thường thiệt hại; quyền tự bảo vệ)
- Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
- Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
(Điều 38 Nghị định 13/2023/NĐ-CP)
|
- Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
- Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
- Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
- Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
- Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
- Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
(Điều 39 Nghị định 13/2023/NĐ-CP)
|
Trên đây là toàn bộ nội dung tư vấn của Luật Vì Chân Lý Themis gửi tới quý khách hàng. Mong rằng nội dung trên sẽ giúp ích được cho quý khách hàng. Nếu quý khách hàng còn vướng mắc cần giải đáp vui lòng liên hệ cho Luật Vì Chân Lý Themis theo thông tin dưới đây.
-XH-
MỌI THẮC MẮC KHÁCH HÀNG VUI LÒNG LIÊN HỆ TỚI
FB: LUATSUTHANHDAT
ZALO: 03.2518.2518
CS1: PHÒNG 201, SỐ 170 TRẦN DUY HƯNG, P.TRUNG HOÀ, Q.CẦU GIẤY, TP HÀ NỘI
CS2: PHÒNG 1936, TÒA HH4C, KĐT LINH ĐÀM, NGUYỄN HỮU THỌ, HOÀNG MAI, HÀ NỘI