Bên kiểm soát dữ liệu theo Gdpr là gì?

General Data Protection Regulation (GDPR) định nghĩa một data controller là "một cá nhân, cơ quan công quyền, tổ chức hoặc thực thể khác, một mình hoặc cùng với những người khác, xác định mục đích và phương tiện xử lý dữ liệu cá nhân" (Nghị viện và Hội đồng Châu Âu, 2016). Vai trò này đòi hỏi trách nhiệm quyết định lý do và cách thức dữ liệu cá nhân được xử lý. Data controller không chỉ xác định mục đích sử dụng dữ liệu mà còn chỉ định phạm vi dữ liệu cần thiết để đạt được mục đích đó.

Ví dụ, một doanh nghiệp nhỏ xử lý thông tin khách hàng để thực hiện các đơn hàng vận chuyển đủ điều kiện là một data controller. Trong những trường hợp như vậy, doanh nghiệp quyết định mục đích (vận chuyển sản phẩm) và xác định dữ liệu nào (ví dụ: tên, địa chỉ) là cần thiết. Khi doanh nghiệp này thuê ngoài việc vận chuyển cho một bên thứ ba, bên thứ ba đó hoạt động như một data processor, thực hiện các nhiệm vụ thay mặt cho controller mà không quyết định mục đích hoặc phương tiện của dữ liệu.

GDPR yêu cầu các data controller phải có cơ sở pháp lý để xử lý dữ liệu cá nhân, chẳng hạn như:

• Sự đồng ý của chủ thể dữ liệu,
• Lợi ích hợp pháp mà controller theo đuổi,
• Tuân thủ một nghĩa vụ pháp lý,
• Thực hiện một hợp đồng.

Các controller có nghĩa vụ đảm bảo rằng việc xử lý là hợp pháp, công bằng và minh bạch. Hơn nữa, họ phải thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi sự truy cập, lạm dụng hoặc tiết lộ trái phép. Những trách nhiệm này nhấn mạnh đến trách nhiệm giải trình và bảo vệ dữ liệu theo thiết kế và theo mặc định (Voigt & von dem Bussche, 2017).

Các trách nhiệm chính của một data controller bao gồm:

• Xác định mục đích và phương tiện xử lý,
• Thiết lập cơ sở pháp lý cho việc xử lý,
• Đảm bảo tính minh bạch đối với các chủ thể dữ liệu,
• Thực hiện các biện pháp bảo mật,
• Quản lý các quyền của chủ thể dữ liệu như quyền truy cập, cải chính và xóa.

Việc không thực hiện đúng các nhiệm vụ này có thể dẫn đến các hình phạt đáng kể theo cơ chế thực thi của GDPR.

Khuôn khổ này phân định rõ ràng vai trò của data controller là trung tâm để tuân thủ GDPR, đảm bảo quyền kiểm soát đối với việc xử lý dữ liệu cá nhân đồng thời bảo vệ quyền riêng tư của cá nhân.

Tài liệu tham khảo:

• European Parliament and Council. (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

• Voigt, P., & von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer. https://link.springer.com/book/10.1007/978-3-319-57959-7