Xác định và trách nhiệm của bên thứ ba trong xử lý dữ liệu cá nhân
“Chào luật sư, tôi là chị Lan Anh, chủ một cửa hàng thời trang nhỏ ở quận Cầu Giấy, Hà Nội. Gần đây tôi có thuê một công ty phần mềm để quản lý thông tin khách hàng, bao gồm tên, số điện thoại, lịch sử mua sắm. Tôi nghe nói có khái niệm 'bên thứ ba' trong xử lý dữ liệu cá nhân, vậy công ty phần mềm kia có phải là bên thứ ba không? Nếu đúng thì tôi cần lưu ý gì để không vi phạm pháp luật?”
Trả lời
Khái niệm "Bên thứ ba" trong xử lý dữ liệu cá nhân
Chào chị Lan Anh, theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân, bên thứ ba được định nghĩa là tổ chức, cá nhân ngoài chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân tham gia vào việc xử lý dữ liệu cá nhân theo quy định của pháp luật. Trong trường hợp của chị, khi chị thuê một công ty phần mềm để quản lý thông tin khách hàng, công ty phần mềm này có thể được xem là bên xử lý dữ liệu cá nhân hoặc là một bên thứ ba tùy thuộc vào vai trò và mối quan hệ cụ thể được xác lập trong hợp đồng giữa chị và công ty đó. Thông thường, họ sẽ là bên xử lý dữ liệu cá nhân, và cũng là một dạng bên thứ ba trong mối quan hệ với chủ thể dữ liệu (khách hàng của chị).
Trách nhiệm của chủ cửa hàng khi làm việc với bên thứ ba
Khi chị giao dữ liệu cá nhân của khách hàng cho một bên thứ ba (công ty phần mềm) để xử lý, chị với tư cách là bên kiểm soát dữ liệu cá nhân (người quyết định mục đích và phương tiện xử lý dữ liệu) vẫn phải chịu trách nhiệm chính về việc bảo vệ dữ liệu đó. Chị cần đảm bảo rằng công ty phần mềm tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân. Điều này bao gồm việc ký kết hợp đồng rõ ràng, trong đó quy định cụ thể về mục đích, phạm vi xử lý, các biện pháp bảo mật dữ liệu, và trách nhiệm của mỗi bên. Mặc dù các văn bản pháp luật có thể quy định về các vấn đề khác nhau, từ việc bổ nhiệm nhân sự chính phủ
[1] đến các quy định về hải quan [2], nhưng nguyên tắc chung là mọi hoạt động có liên quan đến các bên khác đều cần có cơ sở pháp lý và sự minh bạch.Các lưu ý quan trọng để đảm bảo tuân thủ pháp luật
Để tránh vi phạm pháp luật và bảo vệ quyền lợi của khách hàng, chị cần lưu ý các điểm sau:
* Hợp đồng rõ ràng: Đảm bảo hợp đồng với công ty phần mềm có các điều khoản chặt chẽ về bảo vệ dữ liệu cá nhân, bao gồm cam kết bảo mật, giới hạn mục đích xử lý, thời gian lưu trữ và các biện pháp kỹ thuật, tổ chức để bảo vệ dữ liệu. * Đánh giá rủi ro: Thực hiện đánh giá rủi ro về bảo mật dữ liệu trước và trong quá trình hợp tác với bên thứ ba. * Giám sát: Thường xuyên kiểm tra, giám sát việc tuân thủ của công ty phần mềm đối với các cam kết bảo mật và quy định pháp luật. * Thông báo và chấp thuận: Đảm bảo rằng chị đã có sự chấp thuận hợp lệ từ khách hàng về việc thu thập và chuyển giao dữ liệu của họ cho bên thứ ba để xử lý. Tương tự như việc tổ chức phát sóng cần có sự cho phép để cho phép tổ chức, cá nhân khác thực hiện các quyền liên quan đến chương trình phát sóng của mình
[3], việc chuyển giao dữ liệu cũng cần sự cho phép rõ ràng. * Xử lý sự cố: Có kế hoạch rõ ràng về việc xử lý các sự cố lộ lọt dữ liệu hoặc vi phạm bảo mật. Chị vẫn là người chịu trách nhiệm cuối cùng trước chủ thể dữ liệu và cơ quan nhà nước có thẩm quyền.Việc hiểu rõ vai trò và trách nhiệm của mình khi làm việc với bên thứ ba là rất quan trọng để đảm bảo hoạt động kinh doanh của chị tuân thủ pháp luật và tạo dựng niềm tin với khách hàng.