DPA là gì

Data Processing Agreement (DPA) là hợp đồng pháp lý quy định điều kiện một data processor được phép xử lý dữ liệu cá nhân thay mặt data controller.

GDPR Article 28 bắt buộc: "processing by a processor shall be governed by a contract or other legal act." Không có DPA là vi phạm GDPR của data controller, tức là khách hàng EU của bạn.

DPA không phải NDA. NDA bảo vệ thông tin bí mật kinh doanh. DPA là yêu cầu pháp lý về dữ liệu cá nhân theo EU law.

Nguồn: GDPR Article 28 (eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679)


Tại sao công ty outsourcing Việt Nam cần DPA

Nếu bạn xử lý dữ liệu cá nhân của cư dân EU theo hợp đồng với khách hàng EU, bạn là data processor. Khách hàng đó, dù là bệnh viện Đức, ngân hàng Pháp, hay SaaS startup Hà Lan, là data controller và chịu trách nhiệm trực tiếp với GDPR supervisory authority.

Họ không thể hợp pháp chia sẻ dữ liệu EU với bạn nếu không có DPA. Vì vậy trong quy trình vendor onboarding, họ thường gửi DPA cho bạn ký.

Trong thực tế, bạn sẽ được gửi DPA để ký. Câu hỏi là bạn có hiểu những gì mình đang ký không.


Nội dung bắt buộc trong DPA theo GDPR Article 28(3)

DPA phải quy định ít nhất các điều khoản sau:

Subject matter, duration, nature, and purpose: mô tả rõ loại dữ liệu gì, xử lý bao lâu, mục đích xử lý là gì. Bạn không được xử lý dữ liệu ngoài những gì được quy định trong DPA.

Confidentiality: nhân viên và contractor của data processor phải cam kết bảo mật dữ liệu cá nhân họ tiếp cận.

Security measures: phải triển khai "appropriate technical and organisational measures" theo GDPR Article 32. DPA thường reference Article 32 hoặc liệt kê các biện pháp cụ thể.

Subprocessors: không được thuê subprocessor mới hoặc thay đổi subprocessor mà không có prior written authorisation của data controller. Điều này áp dụng với mọi vendor bạn dùng có tiếp xúc với dữ liệu EU, bao gồm AWS, Vercel, Cloudflare.

Rights of data subjects: phải hỗ trợ data controller trong việc đáp ứng quyền của data subjects, bao gồm subject access, deletion, portability. Về mặt kỹ thuật, điều này có nghĩa bạn phải có khả năng xóa và export dữ liệu theo yêu cầu.

Deletion or return of data: khi hợp đồng kết thúc, phải xóa hoặc trả lại toàn bộ dữ liệu cá nhân, bao gồm cả dữ liệu trong backup.

Audit rights: data controller hoặc auditor được ủy quyền có quyền kiểm tra compliance của bạn.

Standard Contractual Clauses: nếu dữ liệu được chuyển ra ngoài EU/EEA, ví dụ từ server EU sang server tại Việt Nam, SCC (Standard Contractual Clauses) phải được tích hợp vào DPA hoặc ký thành văn bản riêng.

Nguồn: GDPR Article 28 (eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679)


Subprocessors: điều khoản hay bị bỏ qua

Khi khách hàng EU ủy quyền cho bạn xử lý dữ liệu của họ, họ cũng gián tiếp ủy quyền cho mọi subprocessor bạn dùng. GDPR yêu cầu:

  • Bạn phải có written agreement với mọi subprocessor, với các điều khoản tương đương DPA bạn đã ký với data controller.
  • AWS, Google Cloud, Azure đều cung cấp GDPR DPA. Nhưng các công cụ khác như Jira, Slack, Linear thì sao? Nếu dữ liệu EU đi qua đó, bạn cần xem lại từng công cụ.
  • Khi thêm subprocessor mới, bạn phải thông báo cho data controller và cho họ thời gian phản đối. Phần lớn DPA template quy định 30 ngày.

Một trường hợp phổ biến bị bỏ qua: logging và monitoring services. Nếu bạn dùng công cụ như Datadog hoặc Sentry và log data có chứa dữ liệu cá nhân EU, đó là subprocessor cần DPA.


Điều khoản thường cần đàm phán

Khi nhận DPA từ khách hàng EU, một số điều khoản có thể thương lượng:

Audit rights cụ thể: nhiều DPA cho phép data controller audit trực tiếp "tại bất kỳ thời điểm nào." Với công ty tại Việt Nam, điều này phức tạp về logistics. Bạn có thể đề xuất audit thông qua questionnaire, SOC 2 report, hoặc thuê independent auditor thay vì cho phép audit trực tiếp không giới hạn.

Breach notification timeline: GDPR yêu cầu data processor thông báo cho data controller "without undue delay." Nhiều DPA cụ thể hóa thành 24 hoặc 72 giờ. Xem timeline này có khả thi với quy trình incident response hiện tại của bạn không trước khi ký.

Jurisdiction cho tranh chấp: DPA từ công ty EU thường chọn tòa án EU. Nếu tranh chấp xảy ra, bạn sẽ phải xử lý theo luật pháp EU, với luật sư và quy trình tố tụng tại EU.

Indemnification: điều khoản bồi thường thiệt hại khi vi phạm DPA. Cần có liability cap rõ ràng, thường là giới hạn theo giá trị hợp đồng hoặc một bội số của phí dịch vụ hàng năm.


Bước chuẩn bị khi nhận DPA từ khách hàng EU

  1. Đọc toàn bộ DPA, chú ý đặc biệt vào subprocessor requirements, audit rights, deletion timeline, và liability provisions.
  2. Liệt kê tất cả subprocessors sẽ tiếp xúc với dữ liệu đó: cloud providers, analytics tools, logging services, ticketing systems.
  3. Xác nhận từng subprocessor đó có GDPR-compliant DPA cho bạn ký không.
  4. Xác nhận bạn có SCC cho cross-border transfer, cụ thể là từ EU sang Việt Nam.
  5. Ký DPA và lưu trữ ít nhất 3 năm. Thực tế nên lưu lâu hơn, đặc biệt khi GDPR không có statute of limitations ngắn.

Nếu data controller không đề cập đến DPA mà bạn biết mình sẽ xử lý dữ liệu EU, bạn nên chủ động hỏi. Không phải mọi procurement team EU đều nhớ gửi DPA trong quy trình onboarding.

Nguồn: European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor (edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-under_en)


Tài liệu tham khảo:

Thẻ:
GDPRDPAData Processing AgreementOutsourcingVietnam