DPA (Data Processing Agreement) là gì?
DPA, viết tắt của Data Processing Agreement (Thỏa thuận Xử lý Dữ liệu), là hợp đồng pháp lý bắt buộc được quy định trong Điều 28 của GDPR. Hợp đồng này được ký kết giữa Data Controller (bên kiểm soát dữ liệu) và Data Processor (bên xử lý dữ liệu) khi processor xử lý dữ liệu cá nhân của người dùng EU thay mặt cho controller.
Nói đơn giản hơn: nếu công ty bạn thuê một bên thứ ba, chẳng hạn nhà cung cấp dịch vụ cloud, công ty phân tích dữ liệu, hay nền tảng email marketing, để xử lý dữ liệu cá nhân của khách hàng, thì bạn bắt buộc phải có DPA với bên đó trước khi bắt đầu bất kỳ hoạt động xử lý nào.
Tại sao DPA quan trọng?
DPA không chỉ là thủ tục hành chính. Đây là công cụ pháp lý giúp xác định rõ trách nhiệm của từng bên trong chuỗi xử lý dữ liệu.
Không có DPA, cả controller lẫn processor đều có nguy cơ vi phạm GDPR, dẫn đến các hậu quả như bị phạt hành chính, mất uy tín, hoặc phải đình chỉ hoạt động xử lý dữ liệu. Đặc biệt với các doanh nghiệp SaaS hay B2B cung cấp dịch vụ cho khách hàng tại EU, việc thiếu DPA là một lỗ hổng compliance nghiêm trọng thường bị bỏ qua.
DPA trong khuôn khổ GDPR
Theo GDPR, một DPA hợp lệ cần bao gồm các nội dung tối thiểu sau:
- Phạm vi và mục đích xử lý: loại dữ liệu nào được xử lý, với mục đích gì, trong bao lâu.
- Nghĩa vụ bảo mật: processor phải áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu.
- Hạn chế sub-processor: processor không được thuê bên thứ tư xử lý dữ liệu mà không có sự chấp thuận trước từ controller.
- Hỗ trợ quyền của data subject: processor phải hỗ trợ controller thực hiện các yêu cầu từ người dùng (xóa dữ liệu, chỉnh sửa, truy cập...).
- Điều khoản về data breach: processor phải thông báo cho controller trong thời hạn quy định khi xảy ra sự cố rò rỉ dữ liệu.
- Xóa hoặc trả lại dữ liệu: sau khi kết thúc hợp đồng, processor phải xóa hoặc trả lại toàn bộ dữ liệu theo yêu cầu của controller.
Ví dụ thực tế
Một công ty phần mềm quản lý nhân sự (HR SaaS) có khách hàng tại Đức. Họ sử dụng dịch vụ lưu trữ đám mây của một nhà cung cấp Mỹ để lưu trữ hồ sơ nhân viên. Trong trường hợp này:
- Công ty HR SaaS đóng vai trò processor với khách hàng của mình → cần ký DPA với từng khách hàng.
- Nhà cung cấp cloud đóng vai trò sub-processor → công ty HR SaaS cần ký DPA với nhà cung cấp cloud, và cần có điều khoản về sub-processor trong DPA ký với khách hàng.
Một DPA bị thiếu ở bất kỳ mắt xích nào trong chuỗi này đều có thể gây ra rủi ro pháp lý cho toàn bộ chuỗi.
DPA và compliance automation
Việc theo dõi trạng thái DPA với tất cả vendor và khách hàng theo cách thủ công rất dễ xảy ra sai sót, đặc biệt khi danh sách processor thay đổi thường xuyên hoặc khi có audit đột xuất. Các nền tảng compliance automation giúp tổ chức duy trì danh sách vendor được cập nhật liên tục, gắn kết DPA với từng nhà cung cấp, và cảnh báo khi có khoảng trống cần xử lý.
pTrackly hỗ trợ đội ngũ compliance theo dõi trạng thái DPA trong toàn bộ hệ sinh thái vendor, giúp việc chuẩn bị cho audit GDPR trở nên có cấu trúc và ít tốn công hơn.