🔷 CHUỖI BÀI: 30 TÌNH HUỐNG TUÂN THỦ BẢO VỆ DỮ LIỆU CÁ NHÂN MÀ DOANH NGHIỆP GẶP HẰNG NGÀY - #9: CHẤM DỨT HỢP ĐỒNG VỚI VENDOR: DỮ LIỆU PHẢI ĐƯỢC TRẢ LẠI, XÓA HAY TIẾP TỤC LƯU?
- loanlelawlinkvn
- 8 thg 4
- 2 phút đọc
Đã cập nhật: 9 thg 4
Khi ký hợp đồng với vendor, doanh nghiệp thường dành nhiều thời gian để đàm phán phạm vi dịch vụ, chỉ tiêu chất lượng và trách nhiệm bảo mật. Tuy nhiên, đến khi quan hệ dịch vụ kết thúc, một câu hỏi quan trọng lại thường chưa được chuẩn bị kỹ: dữ liệu cá nhân mà vendor đã tiếp cận hoặc xử lý sẽ được xử lý tiếp như thế nào?
Nếu hợp đồng không quy định rõ cơ chế đầu ra, doanh nghiệp có thể rơi vào nhiều tình huống rủi ro. Dữ liệu tiếp tục được lưu trên hệ thống của vendor lâu hơn cần thiết, tài khoản truy cập không được vô hiệu hóa kịp thời, bản sao dữ liệu vẫn tồn tại trong môi trường sao lưu, hoặc doanh nghiệp không có bằng chứng xác đáng về việc hoàn trả, xóa hoặc chấm dứt quyền xử lý.
Vì vậy, compliance trong quan hệ với vendor không chỉ nằm ở giai đoạn onboarding mà còn nằm ở giai đoạn offboarding. Một quy trình chấm dứt dịch vụ tốt cần trả lời được ít nhất ba vấn đề: dữ liệu nào phải hoàn trả, dữ liệu nào phải xóa, và bằng cách nào doanh nghiệp có thể xác nhận rằng việc xử lý sau chấm dứt đã thực sự được kiểm soát.
Gợi ý thực tiễn cho bộ phận phụ trách hợp đồng:
Doanh nghiệp nên chuẩn hóa một vendor offboarding data checklist và gắn checklist này vào quy trình đóng hợp đồng hoặc chuyển đổi nhà cung cấp.
Mini-checklist:
Xác định vendor đang nắm giữ loại dữ liệu nào;
Rà soát nghĩa vụ hoàn trả, xóa hoặc xác nhận xóa dữ liệu theo hợp đồng;
Vô hiệu hóa quyền truy cập của vendor vào hệ thống và tài khoản liên quan;
Yêu cầu bằng chứng hoặc xác nhận hoàn tất việc xử lý dữ liệu sau chấm dứt;
Lưu hồ sơ nội bộ về việc hoàn tất bước offboarding dữ liệu.
Trong nhiều trường hợp, rủi ro không bắt đầu khi dữ liệu được chia sẻ cho vendor, mà bắt đầu khi doanh nghiệp kết thúc hợp đồng nhưng quên kết thúc vòng đời xử lý dữ liệu.
Căn cứ pháp lý:
Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và văn bản hướng dẫn thi hành hiện hành, đặc biệt các quy định về giới hạn mục đích, lưu giữ dữ liệu, trách nhiệm của các bên trong hoạt động xử lý dữ liệu và bảo đảm an toàn dữ liệu cá nhân.
CTA:
Gợi ý vendor offboarding data checklist, có sẵn ở đường dẫn sau:
💌 Bài tới: Khi người lao động nghỉ việc, doanh nghiệp cần làm gì để bảo vệ dữ liệu cá nhân?
Bài viết: Bởi LLVN.
Hình minh họa: LLVN.
-------------------------------
Liên hệ chúng tôi tại:
Website: www.lawlink.com
Instagram: lawlink.vietnam
Facebook: Lawlink Vietnam
Tel: +84 908 107 788
Văn phòng Hồ Chí Minh
Phòng 22.02, Aqua 1, Vinhomes Golden River, Số 2 Tôn Đức Thắng, HCM
Bình luận