gdpr

Data Processor

GDPR Data Processor

Tổ chức xử lý dữ liệu cá nhân thay mặt Data Controller, phải ký DPA và tuân thủ instructions của controller.

Data Processor là gì?

Trong khuôn khổ GDPR, Data Processor (Bên xử lý dữ liệu) là tổ chức hoặc cá nhân xử lý dữ liệu cá nhân thay mặt cho Data Controller, tức bên quyết định mục đích và phương thức xử lý dữ liệu. Processor không tự quyết định dùng dữ liệu đó để làm gì; mọi hoạt động xử lý đều phải tuân theo hướng dẫn của Controller và bị ràng buộc bởi hợp đồng xử lý dữ liệu (Data Processing Agreement, DPA).

Điểm cốt lõi phân biệt Processor với Controller là quyền ra quyết định. Nếu một bên tự xác định mục đích xử lý dữ liệu, họ là Controller. Nếu họ chỉ thực hiện xử lý theo yêu cầu của bên khác, họ là Processor. Ranh giới này tuy rõ ràng về lý thuyết, nhưng trong thực tế nhiều mối quan hệ vẫn cần phân tích cẩn thận.

Tại sao vai trò này quan trọng?

GDPR đặt ra nghĩa vụ pháp lý trực tiếp cho cả Controller lẫn Processor. Trước đây, pháp luật bảo vệ dữ liệu chủ yếu nhắm vào Controller; GDPR thay đổi điều này bằng cách yêu cầu Processor cũng chịu trách nhiệm độc lập trong nhiều tình huống.

Cụ thể, Processor phải:

  • Chỉ xử lý dữ liệu theo documented instructions của Controller
  • Cam kết bảo mật và yêu cầu nhân viên giữ bí mật
  • Hỗ trợ Controller thực hiện các quyền của chủ thể dữ liệu (quyền truy cập, xóa, chỉnh sửa)
  • Thông báo cho Controller khi phát hiện vi phạm dữ liệu trong thời gian quy định
  • Xóa hoặc trả lại dữ liệu khi hợp đồng kết thúc
  • Không thuê Sub-processor mà không có sự chấp thuận của Controller

Nếu Processor vi phạm GDPR bằng cách tự quyết định mục đích xử lý vượt quá instruction, họ có thể bị xem là Controller và chịu trách nhiệm tương ứng, bao gồm cả phạt hành chính lên đến mức quy định tại Điều 83 GDPR.

Áp dụng trong thực tế

Mối quan hệ Controller-Processor xuất hiện trong hầu hết mọi hoạt động kinh doanh số. Một số ví dụ điển hình:

  • Nhà cung cấp dịch vụ cloud lưu trữ dữ liệu nhân viên hoặc khách hàng thay mặt doanh nghiệp thuê cloud đó
  • Công ty payroll outsourcing tính lương dựa trên dữ liệu do doanh nghiệp cung cấp
  • Nền tảng email marketing gửi chiến dịch theo danh sách liên lạc của khách hàng
  • Nhà cung cấp phần mềm HR xử lý hồ sơ nhân sự theo yêu cầu của tổ chức sử dụng

Trong mỗi trường hợp, trước khi chia sẻ bất kỳ dữ liệu cá nhân nào, Controller có nghĩa vụ ký DPA với Processor. DPA cần ghi rõ phạm vi xử lý, mục đích, loại dữ liệu, thời hạn, các biện pháp bảo mật và điều khoản về Sub-processor.

Liên quan đến compliance automation

Quản lý danh sách Processor và trạng thái DPA là một trong những tác vụ compliance dễ bị bỏ sót nhất, đặc biệt khi tổ chức sử dụng nhiều vendor và Sub-processor. Khi không có hệ thống theo dõi, doanh nghiệp khó biết DPA nào đã ký, DPA nào sắp hết hạn, hay vendor nào chưa được đánh giá rủi ro.

Các công cụ compliance automation giúp tập trung việc theo dõi Processor inventory, liên kết DPA với từng vendor, và cảnh báo khi có thay đổi cần xem xét lại, giảm rủi ro bỏ sót nghĩa vụ pháp lý trong chuỗi xử lý dữ liệu.

pTrackly hỗ trợ doanh nghiệp duy trì danh mục Processor có cấu trúc, gắn kết với Records of Processing Activities để đảm bảo toàn bộ chuỗi trách nhiệm luôn được kiểm soát và sẵn sàng cho audit.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo