Các tổ chức, doanh nghiệp thường sẽ có một bộ phận, cá nhân hoặc tổ chức phụ trách, chịu trách nhiệm về việc liên quan tới hoạt động xử lý các thông tin, dữ liệu của dối tác, khách hàng, nhân viên,… Đây là người, là bộ phận đóng vai trò then chốt trong việc giám sát việc tuân thủ các quy định về dữ liệu nói chung và dữ liệu cá nhân nói riêng theo Luật Bảo vệ dữ liệu cá nhân 2025. Tuy nhiên, do sự thay đổi về cơ cấu tổ chức, tái cấu trúc hoặc thay thế nhân sự, việc thay đổi bên phụ trách xử lý dữ liệu cá nhân là một sự kiện phải được quản lý chặt chẽ.

Bài viết này VDPC sẽ phân tích các nghĩa vụ pháp lý khi thay đổi bên phụ trách xử lý dữ liệu cá nhân theo đúng quy định của pháp luật.

Căn cứ pháp lý: Điều 2, 22, 37 Luật Bảo vệ dữ liệu cá nhân 2025

1. Tình huống thực tế

Hợp tác xã vận tải A đã thực hiện thủ tục thông báo đánh giá tác động xử lý DLCN theo quy định.

Tuy nhiên, hiện nay họ thay đổi mô hình từ thuê công ty IT quản lý app chạy xe, nay đã tuyển được Bộ phận IT vận hành app và nhận chuyển giao toàn bộ dữ liệu, code từ Công ty IT kia.

Họ có phải làm thủ tục gì để thông báo với A05 về việc thay đổi này không? Trách nhiệm của HTX trong trường hợp này thay đổi như thế nào?

2. Loại dữ liệu cá nhân mà HTX xử lý là loại nào?

Loại Dữ liệu cá nhân (DLCN) mà Hợp tác xã Vận tải Xanh Bình Định (sau đây gọi tắt là HTX) xử lý, có thể chủ yếu thuộc phạm vi là loại DLCN cơ bản (ví dụ như: tên, tuổi, địa chỉ của khách hàng, số điện thoại…)

(Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.)

Theo quy định về hành vi xử lý dữ liệu cá nhân, các hành vi liên quan tới việc tác động đến dữ liệu cá nhân như hành vi thu thập dữ liệu khách hàng, đối tác; hoạt động chỉnh sửa, xóa dữ liệu… của bộ phận IT mới do HTX tuyển dụng sẽ thuộc hành vi xử lý DLCN.

Còn về các hành vi liên quan tới dữ liệu cá nhân như quyết định về mục đích xử lý dữ liệu cá nhân của khách hàng, đối tác mà HTX thu thập, hành vi quyết định phương tiện thu thập, chỉnh sửa, xóa dữ liệu cá nhân… của HTX sẽ được xếp vào hành vi liên quan đến việc kiểm soát dữ liệu cá nhân.

3. Vai trò của Hợp tác xã Vận tải Xanh Bình Định trong các hoạt động về dữ liệu cá nhân

Theo quy định của Luật Bảo vệ dữ liệu cá nhân mới được ban hành, và các hành vi kiểm soát và xử lý DLCN như đã nêu tại Mục 1, thì HTX sau khi tuyển được Bộ phận IT để vận hành app nhận chuyển giao toàn bộ dữ liệu, code từ Công ty IT đã thuê trước đó; thì HTX sẽ chuyển thành vai trò của Bên kiểm soát và xử lý dữ liệu cá nhân.

(Bên kiểm soát và xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân)

4. HTX có phải làm thủ tục gì để thông báo với A05 về việc thay đổi Bộ phận IT không?

(1) Có, theo Luật Bảo vệ dữ liệu cá nhân thì HTX thuộc trường hợp phải cập nhật ngay hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

Cụ thể là thông tin liên quan đến bộ phận xử lý dữ liệu cá nhân từ Công ty IT trước đó sang Bộ phận IT thuộc HTX đã tuyển dụng được.

(2) Về hồ sơ và thủ tục cho việc cập nhật này, do Luật Bảo vệ dữ liệu cá nhân không quy định cụ thể và các văn bản điều chỉnh liên quan cũng chưa được ban hành, nên về vấn đề này có thể sẽ được quy định trong các văn bản, nghị định liên quan tới luật bảo vệ dữ liệu cá nhân được ban hành sau này.

5. Trách nhiệm của HTX trong trường hợp này thay đổi như thế nào?

Do chuyển thành vai trò của bên kiểm soát và xử lý dữ liệu cá nhân, HTX sẽ có cả trách nhiệm của bên kiểm soát và bên xử lý dữ liệu cá nhân theo quy định tại Luật Bảo vệ dữ liệu cá nhân, cụ thể:

Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân
Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung
Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân theo quy định của pháp luật, rà soát và cập nhật các biện pháp này khi cần thiết
Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân
Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân
Bảo đảm các quyền của chủ thể dữ liệu cá nhân
Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra

Ngoài ra còn có các trách nhiệm khác như:

Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình
Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân
Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân
Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân
Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
Thực hiện các trách nhiệm khác theo quy định

KẾT LUẬN

Khi có sự thay đổi về bên phụ trách xử lý dữ liệu cá nhân, trách nhiệm pháp lý của tổ chức là phải đảm bảo tính liên tục của công tác bảo mật và tuân thủ. Sự chậm trễ hoặc thiếu sót trong việc cập nhật thông tin này có thể dẫn đến rủi ro pháp lý nghiêm trọng, ảnh hưởng đến hoạt động và uy tín của doanh nghiệp.

Trên đây là Trách nhiệm khi có sự thay đổi về bên phụ trách xử lý dữ liệu cá nhân và tình huống thực tế. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

CẨM NANG PHÁP LUẬT

Trách nhiệm khi có sự thay đổi về bên phụ trách xử lý dữ liệu cá nhân và tình huống thực tế