Điều kiện của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân
Bạn Đức Thành (TP HCM) hỏi: Công ty tôi đang tìm hiểu để kinh doanh dịch vụ xử lý dữ liệu cá nhân. Vậy, điều kiện và trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân được pháp luật quy định như thế nào?
Luật sư Trình Kiên Cường - Đoàn Luật sư Thành phố Hà Nội tư vấn: Căn cứ Điều 22 Nghị định 356/2025/NĐ-CP quy định về điều kiện của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân như sau:
Là tổ chức, doanh nghiệp được thành lập và hoạt động theo pháp luật Việt Nam, đáp ứng các điều kiện quy định tại Điều 22 Nghị định 356/2025/NĐ-CP.
Điều kiện về nhân sự: Người đứng đầu phụ trách chuyên môn về xử lý dữ liệu cá nhân của tổ chức là công dân Việt Nam, thường trú tại Việt Nam; Có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn xử lý dữ liệu cá nhân; Có tối thiểu 3 nhân sự đủ điều kiện năng lực theo quy định tại khoản 2 Điều 13 Nghị định 356/2025/NĐ-CP.
Có hạ tầng, hệ thống trang thiết bị, cơ sở vật chất và công nghệ phù hợp với dịch vụ xử lý dữ liệu cá nhân.
Có kết quả đạt yêu cầu đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp có chuyển dữ liệu cá nhân xuyên biên giới.
Tại khoản 2 Điều 13 Nghị định 356/2025/NĐ-CP quy định nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau: Có trình độ cao đẳng trở lên; Có ít nhất 2 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ; Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Căn cứ Điều 23 Nghị định 356/2025/NĐ-CP quy định trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân như sau:
Tuân thủ đầy đủ các quy định pháp luật về bảo vệ dữ liệu cá nhân; trách nhiệm, nghĩa vụ của bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân. Xây dựng khung quản trị rủi ro về bảo vệ dữ liệu cá nhân phù hợp với dịch vụ cung cấp. Thực hiện đánh giá hiện trạng tuân thủ và mức độ tín nhiệm về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.
Áp dụng tiêu chuẩn, quy chuẩn liên quan đến an ninh dữ liệu, bảo vệ dữ liệu cá nhân, an ninh mạng. Xây dựng quy định về trách nhiệm và quyền hạn của tổ chức trong xử lý dữ liệu cá nhân. Bảo đảm xử lý dữ liệu cá nhân đúng mục đích, giới hạn việc thu thập, chuyển giao, lưu trữ phù hợp và theo quy định pháp luật; ngăn chặn truy cập, thu thập, sử dụng, tiết lộ trái phép hoặc các rủi ro tương tự trong hoạt động xử lý dữ liệu cá nhân.
Trường hợp là bên xử lý dữ liệu cá nhân, tổ chức yêu cầu bên kiểm soát dữ liệu cá nhân xin sự đồng ý của chủ thể dữ liệu theo quy định trước khi cung cấp dịch vụ, bảo đảm chủ thể dữ liệu cá nhân được biết về loại dữ liệu cá nhân xử lý, mục đích xử lý và tổ chức cung cấp dịch vụ xử lý dữ liệu cá nhân. Tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân thực hiện việc xác thực danh tính tổ chức theo quy định pháp luật về định danh và xác thực điện tử. Do đó, trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân được quy định như trên.
