Xử lý dữ liệu cá nhân với Bên thứ ba

Trả lời

Chào chị H.T.L, vấn đề chị quan tâm về việc chia sẻ dữ liệu khách hàng cho đơn vị marketing bên ngoài là rất xác đáng trong bối cảnh các quy định về bảo vệ dữ liệu cá nhân ngày càng chặt chẽ tại Việt Nam.

1. Xác định đơn vị marketing là "Bên thứ ba"

Theo quy định tại Nghị định số 13/2023/NĐ-CP, "Bên thứ ba" được định nghĩa là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân. Trong trường hợp của chị, công ty của chị có thể được xem là Bên Kiểm soát dữ liệu cá nhân (vì chị quyết định mục đích và phương tiện xử lý dữ liệu khách hàng). Đơn vị marketing mà chị thuê để chạy quảng cáo và chăm sóc khách hàng, khi được cấp quyền truy cập và xử lý dữ liệu khách hàng của chị, sẽ được coi là Bên thứ ba theo định nghĩa trên. Điều này áp dụng cho các cơ quan, tổ chức, cá nhân Việt Nam như công ty của chị và đơn vị marketing ^[1].

2. Các nguyên tắc cần tuân thủ khi làm việc với Bên thứ ba

Khi chia sẻ và cho phép Bên thứ ba xử lý dữ liệu cá nhân, công ty chị cần đảm bảo tuân thủ các nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân, đặc biệt là:

* Nguyên tắc mục đích: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được công ty chị và Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. Điều này có nghĩa là đơn vị marketing chỉ được sử dụng dữ liệu khách hàng của chị cho mục đích chạy quảng cáo và chăm sóc khách hàng theo thỏa thuận, không được sử dụng cho bất kỳ mục đích nào khác mà chưa được sự đồng ý của chủ thể dữ liệu hoặc chưa được công ty chị cho phép rõ ràng và hợp pháp ^[2]. * Nguyên tắc giới hạn: Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Chị cần đảm bảo chỉ cung cấp những dữ liệu cần thiết nhất cho đơn vị marketing để thực hiện công việc. * Nguyên tắc bảo mật: Dữ liệu cá nhân phải được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý.

3. Hợp đồng và trách nhiệm pháp lý

Để đảm bảo tuân thủ pháp luật và bảo vệ quyền lợi của khách hàng, công ty chị cần ký kết một hợp đồng rõ ràng với đơn vị marketing. Trong hợp đồng này, cần quy định cụ thể:

* Mục đích và phạm vi xử lý dữ liệu: Đơn vị marketing chỉ được xử lý dữ liệu cho các mục đích đã thỏa thuận (quảng cáo, chăm sóc khách hàng) và trong phạm vi dữ liệu được cung cấp. * Các biện pháp bảo mật: Yêu cầu đơn vị marketing phải áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép, mất mát, hủy hoại hoặc tiết lộ. * Trách nhiệm của các bên: Quy định rõ trách nhiệm của mỗi bên trong việc bảo vệ dữ liệu cá nhân, bao gồm cả việc thông báo khi có sự cố an ninh dữ liệu. * Quy định về ủy quyền lại: Nếu đơn vị marketing có ý định ủy quyền lại việc xử lý dữ liệu cho một bên khác (ví dụ: một nhà cung cấp dịch vụ con), họ chỉ được phép làm vậy nếu được công ty chị đồng ý hoặc pháp luật có quy định, và việc ủy quyền lại không được vượt quá phạm vi ủy quyền ban đầu ^[4].

4. Hậu quả pháp lý khi vi phạm

Bất kỳ cơ quan, tổ chức, cá nhân nào vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy theo mức độ, có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, hoặc thậm chí xử lý hình sự theo quy định của pháp luật ^[3]. Do đó, việc thiết lập các thỏa thuận rõ ràng và giám sát chặt chẽ hoạt động của Bên thứ ba là cực kỳ quan trọng để tránh các rủi ro pháp lý cho công ty chị.