(KTSG) - Bên cạnh việc xử lý những đối tượng chủ động đánh cắp và mua bán thông tin, Nghị định 13/2023 về bảo vệ dữ liệu cá nhân vừa được ban hành cũng đã giải quyết một số vấn đề bằng cách quy định rõ ràng trách nhiệm của các bên trong việc kiểm soát và xử lý dữ liệu, đảm bảo rằng mỗi bên sẽ chịu trách nhiệm đầy đủ và phù hợp với vai trò của họ.
Phân vai rõ ràng hơn
Nghị định 13/2023 quy định “Bên kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân”. Trong khi đó, “Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho bên kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với bên kiểm soát dữ liệu”. Đây là những khái niệm lần đầu xuất hiện trong pháp luật dữ liệu Việt Nam.
Để dễ hình dung hai khái niệm này, cùng tưởng tượng về tình huống sau: Công ty A (bên sử dụng lao động) thuê công ty B (bên cung cấp dịch vụ trả lương) qua một hợp đồng để trả lương cho nhân viên của A. A quyết định mục đích (trả lương cho nhân viên của A) và phương tiện (trả cho ai, số tiền bao nhiêu, vào ngày nào, ngân hàng nào, dữ liệu sẽ được lưu trữ trong bao lâu, dữ liệu nào sẽ được tiết lộ cho cơ quan thuế,…). B có trách nhiệm làm theo yêu cầu của A và không được dùng dữ liệu cho mục đích khác.
Về bản chất cách thức mà B quản lý dữ liệu nên được thống nhất rõ ràng và chặt chẽ. Tuy nhiên những vấn đề chi tiết về quá trình xử lý (như phần mềm, quyền truy cập dữ liệu trong công ty B) có thể do B quyết định. Trong trường hợp này, bên nào là bên kiểm soát dữ liệu, bên nào là bên xử lý dữ liệu?
Đâu là bên kiểm soát hay bên xử lý không phụ thuộc vào danh xưng trong hợp đồng mà phụ thuộc vào nhiệm vụ thực tế của từng bên.
Giả sử tiếp, chúng ta gộp bên A và bên B thành bên C. Khi đó bên C sẽ quyết định cả mục đích, phương tiện, tiến hành xử lý dữ liệu và trả lương cho nhân viên của mình. Khi ấy, bên C được gọi là gì?
Để giải quyết vấn đề này, Nghị định 13/2023 đã phân loại thành các bên sau: Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và bên kiểm soát và xử lý dữ liệu cá nhân (vừa là bên kiểm soát vừa là bên xử lý).
Bên kiểm soát dữ liệu cá nhân là bên xác nhận mục đích và phương tiện của quá trình xử lý dữ liệu, trong khi bên xử lý dữ liệu cá nhân là bên trực tiếp thực hiện việc xử lý dữ liệu dưới sự hướng dẫn và nhân danh bên kiểm soát.
Nghị định 13/2023 quy định rằng dữ liệu phải được thu thập cho các mục đích cụ thể, rõ ràng, hợp pháp một cách vừa đủ. Vì vậy, mục đích (lý do xử lý), phương tiện (cách thức xử lý) được cho là rất quan trọng và người quyết định việc này là “bên kiểm soát”. Trong thực tế, những “phương tiện không thiết yếu” (như phần cứng hoặc phần mềm của việc xử lý dữ liệu) là chuyện do “bên xử lý” quyết định.
Mối quan hệ giữa bên xử lý và bên kiểm soát dữ liệu được thiết lập dựa trên hợp đồng hoặc hành vi pháp lý khác và phải được lập thành văn bản, quy định rõ quyền, nghĩa vụ của các bên. Bên nào là bên kiểm soát hay bên xử lý không phụ thuộc vào danh xưng trong hợp đồng mà phụ thuộc vào nhiệm vụ thực tế của từng bên.
Quay lại ví dụ phía trên, chúng ta có thể nhận ra bên A là bên kiểm soát dữ liệu cá nhân, bên B là bên xử lý dữ liệu cá nhân, bên C là bên kiểm soát và xử lý dữ liệu cá nhân. Và cả ba bên đều chịu trách nhiệm pháp lý đối với việc quản lý, xử lý dữ liệu.
Gánh nặng chi phí của “hai thúng nghĩa vụ”
Bảo vệ quyền riêng tư luôn phải đi kèm với chi phí của việc tuân thủ pháp luật dữ liệu. Theo báo cáo của Global Scape về chi phí thực sự của việc tuân thủ các quy định bảo vệ dữ liệu, việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân sẽ tạo ra chi phí cho các doanh nghiệp.
Những chi phí này phát sinh từ việc đầu tư vào hệ thống bảo mật (những công nghệ chuyên biệt giúp ngăn chặn hành vi xâm phạm, xử lý và lưu trữ dữ liệu,...), chi phí tổ chức quản trị dữ liệu, chi phí đào tạo nhân lực và cấp chứng chỉ (đào tạo các cá nhân có đủ năng lực để kiểm soát hoặc xử lý dữ liệu, bao gồm cả chi phí tổ chức thi và cấp chứng chỉ), chi phí tranh tụng hoặc các hoạt động với cơ quan nhà nước khác liên quan đến vi phạm dữ liệu, chi phí bồi thường cho cá nhân bị xâm phạm dữ liệu, đóng tiền phạt vi phạm cho cơ quan nhà nước và các chi phí khác.
Ponemon ước tính rằng chi phí tuân thủ quy định chung về bảo mật dữ liệu của Liên minh châu Âu (GDPR) trung bình của năm 2017 là 5,47 triệu đô la Mỹ, tăng 43% so với năm 2011 - khi chưa có GDPR. Và chi phí tuân thủ trung bình (5,47 triệu đô la Mỹ) thấp hơn đáng kể so với chi phí không tuân thủ (14,82 triệu đô la Mỹ)(1). Nghị định 13/2023 được xây dựng dựa trên GDPR nên có rất nhiều điểm tương đồng.
Người kinh doanh giờ đây như một cô bán hàng cũng phải gánh trên vai trách nhiệm bảo vệ dữ liệu cá nhân qua hai thúng nghĩa vụ của bên kiểm soát và bên xử lý dữ liệu. Các chi phí này có thể tác động tới hoạt động kinh doanh của họ.
Phân tách nghĩa vụ để tối ưu chi phí
Nghị định 13/2023 quy định về nghĩa vụ của người kiểm soát, xử lý dữ liệu như sau: Đối với cá nhân, việc xử lý dữ liệu cá nhân cần phải có sự đồng ý của cá nhân và nghĩa vụ chứng minh thuộc về bên xử lý và bên kiểm soát dữ liệu.
Trong trường hợp đặc biệt, như liên quan tính mạng và sức khỏe của người khác hoặc của cá nhân đó, bên kiểm soát và bên xử lý dữ liệu có quyền xử lý dữ liệu mà không cần sự đồng ý. Bên xử lý và bên kiểm soát phải cung cấp thông tin về loại dữ liệu, cách thức xử lý và hậu quả,… cho cá nhân khi có yêu cầu hợp lệ từ họ.
Bên cạnh đó, bên kiểm soát và bên xử lý dữ liệu phải chỉnh sửa, xóa, hủy dữ liệu cá nhân trong một số trường hợp theo yêu cầu của cá nhân đó. Trong trường hợp xử lý dữ liệu cá nhân là trẻ em từ 7 tuổi trở lên, bên kiểm soát và bên xử lý dữ liệu cần có sự đồng ý của cả trẻ em và cha mẹ hoặc người giám hộ. Bên xử lý và bên kiểm soát dữ liệu phải xác minh độ tuổi của trẻ trước khi sử dụng dữ liệu trẻ em.
Việc phân tách nghĩa vụ của các bên trong việc kiểm soát và xử lý dữ liệu giúp giảm thiểu khả năng vi phạm dữ liệu xảy ra và làm rõ ai sẽ là người có trách nhiệm với hành vi vi phạm đó, từ đó hạn chế thời gian, chi phí dài hạn mà doanh nghiệp phải bỏ ra cho hoạt động tố tụng với cơ quan nhà nước.
Đối với cơ quan nhà nước, khi có vi phạm dữ liệu, bên xử lý phải thông báo ngay cho bên kiểm soát. Và chậm nhất 72 giờ bên kiểm soát, bên xử lý phải thông báo cho Bộ Công an.
Trong trường hợp chuyển dữ liệu cá nhân ra nước ngoài, bên kiểm soát và bên xử lý dữ liệu phải lập và lưu trữ hồ sơ đánh giá tác động.
Ngoài ra, bên xử lý dữ liệu chỉ được hoạt động khi có thỏa thuận với bên kiểm soát. Bên xử lý phải thực hiện đúng hợp đồng và chịu trách nhiệm trước thiệt hại do quá trình xử lý của mình gây ra. Sau khi hoàn tất việc xử lý dữ liệu, bên xử lý có trách nhiệm xóa và trả lại toàn bộ dữ liệu cho bên kiểm soát theo thỏa thuận.
Việc phân tách nghĩa vụ của các bên trong việc kiểm soát và xử lý dữ liệu giúp giảm thiểu khả năng vi phạm dữ liệu xảy ra và làm rõ ai sẽ là người có trách nhiệm với hành vi vi phạm đó, từ đó hạn chế thời gian, chi phí dài hạn mà doanh nghiệp phải bỏ ra cho hoạt động tố tụng với cơ quan nhà nước.
Nhiệm vụ của pháp luật không chỉ là bảo vệ dữ liệu cá nhân, mà còn cần cân bằng “hai thúng nghĩa vụ” giúp “người gánh hàng” thuận lợi trong việc di chuyển và thực hiện hoạt động kinh doanh của họ. Bên kiểm soát và bên xử lý dữ liệu cần nghiêm túc thực hiện nghĩa vụ của mình đảm bảo cân bằng được quyền riêng tư, quyền tự do kinh doanh và chi phí thực hiện.
(*) Khoa Luật, trường Kinh tế, Luật và Quản lý nhà nước, Đại học Kinh Tế TPHCM
(1) https://static.fortra.com/globalscape/pdfs/guides/gs-true-cost-of-compliance-data-protection-regulations-gd.pdf