Trách nhiệm của doanh nghiệp về bảo vệ dữ liệu cá nhân

Trong thời đại công nghệ số, bảo vệ dữ liệu cá nhân trở thành một vấn đề ngày càng quan trọng đối với các doanh nghiệp. Dữ liệu cá nhân không chỉ là tài sản quý giá mà còn là yếu tố nhạy cảm, có thể ảnh hưởng đến quyền lợi và sự riêng tư của cá nhân. Vì vậy, doanh nghiệp cần có trách nhiệm bảo vệ dữ liệu cá nhân, tuân thủ các quy định pháp lý và đảm bảo an toàn cho thông tin của khách hàng, đối tác và nhân viên. Nội dung bài viết dưới đây Luật Trí Minh sẽ cung cấp tới bạn quy định về trách nhiệm của doanh nghiệp về bảo vệ dữ liệu cá nhân, tham khảo ngay!

trach-nhiem-cua-doanh-nghiep-ve-bao-ve-du-lieu-ca-nhan

Mục lục

1. Một số khái niệm cơ bản liên quan đến dữ liệu cá nhân
2. Vai trò của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân
3. Trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân
4. Các công việc doanh nghiệp cần thực hiện liên quan đến bảo vệ dữ liệu cá nhân
- 4.1. Thu thập sự đồng ý của chủ thể dữ liệu
- 4.2. Thông báo xử lý dữ liệu cá nhân
5. Thực hiện các biện pháp bảo vệ dữ liệu cá nhân
- 5.1. Các biện pháp bảo vệ đối với dữ liệu cá nhân cơ bản
- 5.2. Các biện pháp bảo vệ đối với dữ liệu cá nhân nhạy cảm
6. Đánh giá tác động xử lý dữ liệu cá nhân
- 6.1. Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
- 6.2. Rà soát sự phù hợp của các Hợp đồng, quy chế, nội quy lao động và các văn bản khác của doanh nghiệp

1. Một số khái niệm cơ bản liên quan đến dữ liệu cá nhân

Dữ liệu cá nhân là bất kỳ thông tin nào có thể nhận diện hoặc xác định một cá nhân thông qua các dạng như chữ viết, ký hiệu, chữ số, hình ảnh, âm thanh, hoặc bất kỳ phương thức tương tự trên môi trường điện tử. Dữ liệu này bao gồm hai loại chính: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Xử lý dữ liệu cá nhân đề cập đến các hoạt động tác động trực tiếp đến dữ liệu cá nhân, bao gồm các hành động như thu thập, ghi nhận, phân tích, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, mã hóa, giải mã, sao chép, chia sẻ, truyền tải, cung cấp, chuyển giao, xóa hoặc hủy bỏ dữ liệu cá nhân và những hoạt động liên quan khác.

Bên kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân có quyền quyết định mục đích và phương thức xử lý dữ liệu cá nhân.

Bên xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân thực hiện việc xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu, thông qua hợp đồng hoặc thỏa thuận đã ký kết.

Bên kiểm soát và xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân có quyền quyết định mục đích và phương thức xử lý dữ liệu cá nhân, đồng thời trực tiếp thực hiện các hoạt động xử lý đó.

2. Vai trò của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân

Dựa trên các khái niệm đã được trình bày, doanh nghiệp có thể đóng vai trò là Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, hoặc cả hai vai trò là Bên Kiểm soát và xử lý dữ liệu cá nhân, tùy thuộc vào từng tình huống cụ thể.

Mỗi vai trò này mang đến những trách nhiệm riêng biệt mà doanh nghiệp cần thực hiện trong việc bảo vệ dữ liệu cá nhân. Cụ thể, trách nhiệm của doanh nghiệp sẽ được xác định theo vai trò mà doanh nghiệp đảm nhận trong quá trình xử lý dữ liệu cá nhân.

Xem thêm: Xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

vai-tro-cua-doanh-nghiep-trong-viec-bao-ve-du-lieu-ca-nhan

3. Trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân

Dưới đây Luật Trí Minh xin chia sẻ tới mọi người trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân, cụ thể:

3.1. Trường hợp doanh nghiệp là Bên Kiểm soát dữ liệu cá nhân

Khi doanh nghiệp là Bên Kiểm soát dữ liệu cá nhân, trách nhiệm của họ bao gồm việc thực hiện các biện pháp tổ chức và kỹ thuật, cũng như các biện pháp bảo mật và an toàn phù hợp để đảm bảo rằng các hoạt động xử lý dữ liệu cá nhân tuân thủ đúng các quy định của pháp luật về bảo vệ dữ liệu. Doanh nghiệp cần rà soát và cập nhật các biện pháp bảo vệ này khi có sự thay đổi hoặc yêu cầu từ cơ quan chức năng.
Doanh nghiệp cũng phải ghi lại và lưu trữ nhật ký hệ thống về quá trình xử lý dữ liệu cá nhân, đảm bảo việc xử lý dữ liệu có thể được theo dõi và kiểm tra khi cần thiết.
Trong trường hợp có vi phạm các quy định về bảo vệ dữ liệu cá nhân, doanh nghiệp cần thực hiện thông báo kịp thời và đầy đủ theo quy định pháp luật.
Khi lựa chọn Bên Xử lý dữ liệu cá nhân, doanh nghiệp phải đảm bảo rằng các bên hợp tác có nhiệm vụ rõ ràng và áp dụng các biện pháp bảo vệ dữ liệu cá nhân đầy đủ và phù hợp.
Doanh nghiệp phải bảo vệ quyền lợi của chủ thể dữ liệu, bảo đảm rằng các quyền của họ được tôn trọng và thực thi đúng quy định của pháp luật.
Bên Kiểm soát dữ liệu cá nhân cũng chịu trách nhiệm về các thiệt hại có thể phát sinh từ quá trình xử lý dữ liệu cá nhân, và phải chịu trách nhiệm trước chủ thể dữ liệu về những hậu quả này.
Cuối cùng, doanh nghiệp cần phối hợp chặt chẽ với các cơ quan nhà nước có thẩm quyền, như Bộ Công an, trong việc bảo vệ dữ liệu cá nhân, đồng thời cung cấp thông tin để hỗ trợ điều tra và xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

3.2. Trường hợp doanh nghiệp là Bên Xử lý dữ liệu cá nhân

Doanh nghiệp đóng vai trò là Bên Xử lý dữ liệu cá nhân chỉ có thể tiếp nhận dữ liệu cá nhân sau khi ký kết hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu cá nhân về việc xử lý dữ liệu đó.
Doanh nghiệp cần đảm bảo việc xử lý dữ liệu cá nhân hoàn toàn phù hợp với các điều khoản đã thỏa thuận trong hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu cá nhân.
Bên Xử lý dữ liệu cá nhân phải thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định tại Nghị định và các văn bản pháp lý liên quan khác.
Doanh nghiệp cũng chịu trách nhiệm đối với chủ thể dữ liệu về bất kỳ thiệt hại nào do quá trình xử lý dữ liệu cá nhân gây ra.
Sau khi hoàn tất việc xử lý dữ liệu, Bên Xử lý dữ liệu cá nhân phải xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân.
Bên cạnh đó, doanh nghiệp cần phối hợp với Bộ Công an và các cơ quan nhà nước có thẩm quyền để bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ cho việc điều tra và xử lý các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

3.3. Trường hợp doanh nghiệp là Bên Kiểm soát và xử lý dữ liệu cá nhân

Doanh nghiệp đóng vai trò là cả Bên Kiểm soát và Xử lý dữ liệu cá nhân phải thực hiện đầy đủ tất cả các trách nhiệm của cả hai bên như đã được nêu ở trên.

trach-nhiem-cua-doanh-nghiep-trong-viec-bao-ve-du-lieu-ca-nhan

4. Các công việc doanh nghiệp cần thực hiện liên quan đến bảo vệ dữ liệu cá nhân

Từ các nội dung đã trình bày trên đây liên quan đến trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân, Luật Trí Minh tổng hợp các công việc mà doanh nghiệp cần thực hiện liên quan đến nội dung này như sau:

4.1. Thu thập sự đồng ý của chủ thể dữ liệu

– Doanh nghiệp cần thu thập sự đồng ý của chủ thể dữ liệu đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân của doanh nghiệp.

– Sự đồng ý này chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

Loại dữ liệu cá nhân được xử lý;
Mục đích xử lý dữ liệu cá nhân;
Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
Các quyền, nghĩa vụ của chủ thể dữ liệu.

– Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

– Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

– Trường hợp dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm, doanh nghiệp cần thông báo cho chủ thể dữ liệu rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm khi thu thập sự đồng ý của chủ thể dữ liệu.

Tìm hiểu thêm: Những quy định mới nhất về lệ phí môn bài năm 2025

4.2. Thông báo xử lý dữ liệu cá nhân

– Trước khi tiến hành hoạt động xử lý dữ liệu cá nhân, doanh nghiệp phải thực hiện thông báo một lần cho chủ thể dữ liệu.

– Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân gồm:

Mục đích xử lý;
Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý;
Cách thức xử lý;
Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý;
Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.

– Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

– Doanh nghiệp không cần thực hiện việc Thông báo xử lý dữ liệu cá nhân trước khi tiến hành hoạt động xử lý dữ liệu cá nhân trong các trường hợp sau:

Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định nêu trên trước khi đồng ý cho doanh nghiệp tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định pháp luật hiện hành;
Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.

cac-cong-viec-doanh-nghiep-can-thuc-hien-lien-quan-den-bao-ve-du-lieu-ca-nhan

5. Thực hiện các biện pháp bảo vệ dữ liệu cá nhân

Doanh nghiệp cần thực hiện các biện pháp bảo vệ dữ liệu cá nhân ngay khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân, cụ thể như sau:

5.1. Các biện pháp bảo vệ đối với dữ liệu cá nhân cơ bản

Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
Các biện pháp khác theo quy định của pháp luật;
Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định 13/2023/NĐ-CP;
Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân;
Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

5.2. Các biện pháp bảo vệ đối với dữ liệu cá nhân nhạy cảm

Áp dụng các biện pháp được trình bày nêu trên;
Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện;
Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp không phải thông báo theo quy định pháp luật.

thuc-hien-cac-bien-phap-bao-ve-du-lieu-ca-nhan

6. Đánh giá tác động xử lý dữ liệu cá nhân

– Doanh nghiệp lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân với các nội dung tương ứng với vai trò của doanh nghiệp trong hoạt động xử lý dữ liệu cá nhân.

– Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của doanh nghiệp được xác lập bằng văn bản có giá trị pháp lý và phải được lưu trữ để đảm bảo có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Đồng thời, doanh nghiệp phải gửi 01 bản chính Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân về cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

6.1. Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

– Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba. Trường hợp doanh nghiệp là Bên chuyển dữ liệu ra nước ngoài, doanh nghiệp phải thực hiện các công việc được nêu dưới đây.

– Dữ liệu cá nhân của công dân Việt Nam chỉ được chuyển ra nước ngoài trong trường hợp doanh nghiệp lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định pháp luật, gồm:

Bảo đảm Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an;
Gửi 01 bản chính Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;
Thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công;
Hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo yêu cầu của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao);
Trường hợp có sự thay đổi về nội dung Hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao), Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

6.2. Rà soát sự phù hợp của các Hợp đồng, quy chế, nội quy lao động và các văn bản khác của doanh nghiệp

Doanh nghiệp cần rà soát lại các điều khoản trong các Hợp đồng, quy chế, nội quy lao động và các văn bản khác của doanh nghiệp, đánh giá sự phù hợp của các điều khoản với quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.

Từ đó, thực hiện điều chỉnh, sửa đổi, bổ sung, cập nhật cho phù hợp với quy định pháp luật hiện hành.

danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan

Trên đây là những chia sẻ của Luật Trí Minh liên quan đến trách nhiệm của doanh nghiệp về bảo vệ dữ liệu cá nhân. Hy vọng những thông tin Luật Trí Minh cung cấp trên đây đã giúp bạn có được một góc nhìn khái quát. Trong trường hợp cần trao đổi chi tiết hoặc có nhu cầu sử dụng dịch vụ tại Luật Trí Minh, vui lòng liên hệ qua Email: contact@luattriminh.vn hoặc số Hotline: 024 3766 9599 (Hà Nội) và 028 3933 3323 (TP.HCM) để được hỗ trợ kịp thời.