TIN PHÁP LUẬT

Trách nhiệm của Trung tâm dữ liệu trong việc bảo vệ dữ liệu của khách hàng

03
Apr

Trong thời đại số hóa hiện nay, việc lưu trữ và bảo vệ dữ liệu trở thành vấn đề cấp thiết đối với mọi tổ chức và cá nhân. Câu hỏi đặt ra là, khi lưu trữ dữ liệu tại Trung tâm dữ liệu, liệu Trung tâm dữ liệu có phải chịu trách nhiệm pháp lý đối với những dữ liệu đó hay không?

Bài viết này, VDPC sẽ phân tích các khía cạnh pháp lý liên quan để làm rõ trách nhiệm của Trung tâm dữ liệu trong việc bảo vệ dữ liệu của khách hàng.

1. Dịch vụ thuê Trung tâm dữ liệu

Căn cứ: Khoản 9, Điều 3 Luật Viễn thông năm 2023

Dịch vụ trung tâm dữ liệu là dịch vụ viễn thông cung cấp tính năng xử lý, lưu trữ và truy xuất thông tin cho người sử dụng qua mạng viễn thông bằng việc cho thuê một phần hoặc toàn bộ trung tâm dữ liệu.

2. Quy trình dữ liệu vào, ra, lưu trữ của một trung tâm dữ liệu

Căn cứ: https://www.teradata.com/insights/data-platform/what-is-a-data-workflow

(1) Thu thập dữ liệu

  • Khách hàng sử dụng dịch vụ: Thu thập và kiểm tra sơ bộ dữ liệu từ người dùng hoặc hệ thống ngoài.
  • Trung tâm dữ liệu: Chỉ cung cấp hạ tầng, không can thiệp nội dung dữ liệu.

(2) Xử lý dữ liệu

  • Khách hàng sử dụng dịch vụ: Lọc, sắp xếp, chuyển đổi, mã hóa dữ liệu theo mục đích.
  • Trung tâm dữ liệu: Hỗ trợ sửa lỗi hệ thống, không xử lý dữ liệu.

(3) Lưu trữ dữ liệu

  • Khách hàng sử dụng dịch vụ: Lưu trữ, phân loại, và sao lưu dữ liệu.
  • Trung tâm dữ liệu: Duy trì hạ tầng lưu trữ, không quản lý nội dung.

(4) Truy xuất dữ liệu

  • Khách hàng sử dụng dịch vụ: Yêu cầu, giải mã, và sắp xếp lại dữ liệu để sử dụng.
  • Trung tâm dữ liệu: Xử lý sự cố kỹ thuật, không trực tiếp truy xuất dữ liệu.

(5) Bảo vệ dữ liệu

  • Khách hàng sử dụng dịch vụ: Triển khai bảo mật và chịu trách nhiệm vi phạm.
  • Trung tâm dữ liệu: Cập nhật hạ tầng bảo mật và xử lý lỗi.

(6) Xóa hoặc lưu trữ lâu dài

  • Khách hàng sử dụng dịch vụ: Quyết định và thực hiện xóa hoặc lưu trữ theo quy định.
  • Trung tâm dữ liệu: Cung cấp công cụ và hỗ trợ kỹ thuật, không tự ý can thiệp.

3. Xác định trách nhiệm của Trung tâm dữ liệu và khách hàng sử dụng dịch vụ

Căn cứ: Khoản 9 Điều 2 Nghị định 13/2023/NĐ-CP

             Khoản 4 Điều 38 Nghị định 13/2023/NĐ-CP

             Khoản 10 Điều 2 Nghị định 13/2023/NĐ-CP

             Khoản 7 Điều 2, Nghi định 13/2023/NĐ-CP
  • Bên Kiểm soát dữ liệu cá nhân (như Khách hàng sử dụng dịch vụ):

– Quyết định mục đích và cách thức xử lý dữ liệu.

– Lựa chọn Bên Xử lý dữ liệu cá nhân (như Trung tâm dữ liệu). 

– Yêu cầu biện pháp bảo vệ phù hợp.

  •  Bên Xử lý dữ liệu cá nhân (như Trung tâm dữ liệu):

– Xử lý dữ liệu theo ủy quyền của Bên Kiểm soát dữ liệu.

– Chỉ được thực hiện các hoạt động xử lý dữ liệu được Bên Kiểm soát dữ liệu cho phép.

  • Xử lý dữ liệu cá nhân:

Bao gồm nhiều hoạt động như thu thập, lưu trữ, chỉnh sửa, chia sẻ,…

  • Trường hợp của Trung tâm dữ liệu:

– Trung tâm dữ liệu không có quyền truy cập tự do vào dữ liệu.

– Nếu khách hàng sử dụng dịch vụ cấp quyền cho Trung tâm dữ liệu thực hiện, Trung tâm dữ liệu có thể được coi là Bên Xử lý.

4. Trách nhiệm của Trung tâm dữ liệu

– Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận

– Xử lý dữ liệu theo hợp đồng

– Thực hiện biện pháp bảo vệ dữ liệu

– Chịu trách nhiệm trước chủ thể dữ liệu

– Xóa hoặc trả lại dữ liệu sau khi kết thúc

– Phối hợp với cơ quan nhà nước

Kết luận:

Trung tâm dữ liệu có thể phải chịu trách nhiệm đối với các dữ liệu mà khách hàng sử dụng dịch vụ lưu tại Trung tâm dữ liệu, nhưng chỉ trong phạm vi nghĩa vụ của Trung tâm dữ liệu khi là bên xử lý dữ liệu cá nhân và không đảm bảo an toàn hệ thống, không bảo trì đúng yêu cầu hoặc không an toàn đối với các dữ liệu cá nhân.

Trên đây là nội dung tư vấn về Trung tâm dữ liệu có phải chịu trách nhiệm với các dữ liệu mà khách hàng sử dụng dịch vụ lưu tại Trung tâm dữ liệu không? Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 098.159.5243

Xem thêm: