GDPR · Hub

Vendor Management Theo GDPR: DPA Với Tất Cả Third-party

Tại Sao Vendor Management Là Trọng Tâm Của GDPR Compliance

Khi một doanh nghiệp Việt Nam sử dụng dịch vụ cloud, công cụ CRM, hay nền tảng email marketing có xử lý dữ liệu của khách hàng EU, mỗi vendor đó đều trở thành một mắt xích trong chuỗi trách nhiệm pháp lý theo GDPR. Điều 28 của GDPR quy định rõ: mọi Data Processor, tức bên thứ ba xử lý dữ liệu cá nhân thay mặt cho Data Controller, đều phải được ràng buộc bởi một Data Processing Agreement (DPA) hợp lệ. Nhiều doanh nghiệp bỏ sót khâu này không phải vì cố ý, mà vì chưa có quy trình hệ thống để xác định và theo dõi toàn bộ vendor liên quan đến EU personal data.

Mapping Tất Cả Sub-processors Tiếp Xúc EU Data

Bước đầu tiên và thường bị bỏ qua nhất là xây dựng danh sách đầy đủ các sub-processor, những bên nhận dữ liệu từ Processor chính hoặc trực tiếp từ Controller để thực hiện một phần công việc xử lý. Danh sách này cần bao gồm:

  • SaaS tools: CRM, marketing automation, analytics, customer support platforms
  • Cloud infrastructure: hosting providers, CDN, database services
  • Payment processors và các integrated payment gateways
  • API partners: bất kỳ bên thứ ba nào nhận data qua API integration
  • Outsourced teams: development agencies, BPO, data entry vendors

Thực tế phổ biến là nhiều công cụ được các team tự ý tích hợp mà không qua IT hoặc legal review, gọi là "shadow IT". Một công cụ nhỏ dùng để gửi automated email cho khách EU vẫn phải có DPA, bất kể nhà cung cấp có lớn hay nhỏ. Mapping cần được cập nhật liên tục, không phải chỉ làm một lần.

Ký DPA: Những Điều Khoản Không Thể Thiếu

Sau khi có danh sách vendor, bước tiếp theo là đảm bảo mỗi vendor có DPA thỏa mãn yêu cầu của Điều 28 GDPR. Một DPA hợp lệ cần có ít nhất các điều khoản sau:

  • Subject matter và duration: xác định rõ phạm vi và thời hạn xử lý
  • Nature và purpose: mục đích cụ thể của việc xử lý là gì
  • Type of personal data và categories of data subjects: loại dữ liệu và nhóm data subject liên quan
  • Obligations của Processor: tuân thủ chỉ dẫn của Controller, bảo mật dữ liệu, thông báo data breach
  • Sub-processor restrictions: Processor không được thuê thêm sub-processor mới mà không có sự chấp thuận của Controller
  • Data subject rights support: hỗ trợ Controller khi có yêu cầu từ data subject
  • Deletion hoặc return of data: sau khi kết thúc hợp đồng

Nhiều vendor lớn như Google, AWS, Salesforce có sẵn DPA template trên website, nhưng cần kiểm tra kỹ để xác nhận phiên bản đang dùng phù hợp với phạm vi data bạn thực sự chia sẻ.

Xử Lý Data Transfer: Standard Contractual Clauses (SCCs)

Khi vendor đặt trụ sở hoặc xử lý dữ liệu bên ngoài EU/EEA mà không có adequacy decision từ European Commission, bao gồm các vendor tại Việt Nam, Mỹ (trừ DPF-certified entities), hay nhiều nước châu Á, thì cần có cơ chế transfer bổ sung. Standard Contractual Clauses (SCCs) là lựa chọn phổ biến nhất.

SCCs phiên bản 2021 của European Commission gồm bốn modules tùy theo quan hệ giữa các bên:

  • Module 1: Controller to Controller
  • Module 2: Controller to Processor
  • Module 3: Processor to Processor
  • Module 4: Processor to Controller

Doanh nghiệp Việt Nam đóng vai Controller cần sử dụng Module 2 khi ký với vendor là Processor ở ngoài EU. Ngoài việc ký SCCs, GDPR cũng yêu cầu thực hiện Transfer Impact Assessment (TIA) để đánh giá mức độ bảo vệ dữ liệu tại quốc gia nhận, đây là bước nhiều công ty chưa làm đủ.

FAQ

Q: Nếu vendor đã có ISO 27001 hoặc SOC 2, có cần DPA không? Có. Các chứng chỉ bảo mật không thay thế được DPA. ISO 27001 chứng nhận hệ thống quản lý bảo mật thông tin, còn DPA là công cụ pháp lý xác định trách nhiệm xử lý dữ liệu theo GDPR, hai thứ khác nhau hoàn toàn.

Q: Một vendor từ chối ký DPA thì phải làm thế nào? Nếu vendor xử lý EU personal data mà từ chối ký DPA, về nguyên tắc bạn không thể tiếp tục sử dụng dịch vụ đó cho các tác vụ liên quan đến EU data. Đây là lý do vendor assessment cần diễn ra trước khi onboard, không phải sau.

Q: DPA có cần gia hạn định kỳ không? DPA thường không có ngày hết hạn riêng mà có hiệu lực theo hợp đồng dịch vụ chính. Tuy nhiên, cần review lại khi có thay đổi lớn về phạm vi xử lý, hoặc khi vendor cập nhật DPA template của họ.


Vendor management theo GDPR đòi hỏi quy trình liên tục, từ onboarding vendor mới, ký DPA, theo dõi sub-processor chain, đến review định kỳ. pTrackly hỗ trợ doanh nghiệp xây dựng vendor register có cấu trúc và theo dõi trạng thái DPA theo thời gian thực, giúp quá trình này bớt thủ công và dễ audit hơn.

pTrackly giúp bạn triển khai GDPR nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo