thumbnail hop dong xu ly du lieu ca nhan dpa huong dan tu a

Hợp đồng xử lý dữ liệu cá nhân DPA: Điều khoản cần có và lưu ý tuân thủ

Đăng bởi: admin ngày 10/06/2026

Trong quá trình kinh doanh, doanh nghiệp thường xuyên chia sẻ dữ liệu cá nhân cho bên thứ ba, chẳng hạn như đơn vị vận chuyển, agency marketing, nhà cung cấp phần mềm CRM, dịch vụ cloud, đơn vị IT outsourcing hoặc đối tác chăm sóc khách hàng. Nếu các hoạt động này không được điều chỉnh bằng thỏa thuận rõ ràng, doanh nghiệp có thể gặp rủi ro khi xảy ra rò rỉ dữ liệu, sử dụng sai mục đích hoặc tranh chấp trách nhiệm giữa các bên.

Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Nghị định 356/2025/NĐ-CP đặt ra yêu cầu tuân thủ rõ ràng hơn đối với hoạt động xử lý dữ liệu cá nhân. Trong bối cảnh đó, hợp đồng xử lý dữ liệu cá nhân, thường được gọi là DPA, là công cụ quan trọng giúp doanh nghiệp phân định trách nhiệm, kiểm soát rủi ro và chứng minh nỗ lực tuân thủ.

Hợp đồng xử lý dữ liệu cá nhân DPA là gì?

DPA, viết tắt của Data Processing Agreement, là thỏa thuận giữa các bên liên quan đến việc xử lý dữ liệu cá nhân. Thỏa thuận này thường được ký giữa bên quyết định mục đích, phương tiện xử lý dữ liệu và bên được giao xử lý dữ liệu theo yêu cầu hoặc chỉ dẫn.

Trong thực tế, DPA có thể là một hợp đồng độc lập hoặc một phụ lục đính kèm hợp đồng dịch vụ chính. Mục tiêu của DPA là ghi nhận rõ: dữ liệu nào được xử lý, xử lý cho mục đích gì, bên xử lý được làm gì, không được làm gì, phải bảo mật ra sao và phải phối hợp thế nào khi có yêu cầu từ chủ thể dữ liệu hoặc khi xảy ra sự cố.

DPA không chỉ là một tài liệu pháp lý mang tính hình thức. Đây còn là công cụ quản trị giúp doanh nghiệp kiểm soát luồng dữ liệu khi làm việc với nhà cung cấp, đối tác hoặc bên thứ ba.

Hợp đồng xử lý dữ liệu cá nhân DPA là gì và khi nào bắt buộc ký kết?

Khi nào doanh nghiệp nên có DPA?

Doanh nghiệp nên cân nhắc ký DPA hoặc bổ sung điều khoản xử lý dữ liệu cá nhân khi thuê bên thứ ba thực hiện các công việc có liên quan đến dữ liệu cá nhân, ví dụ:

  • Giao dữ liệu khách hàng cho đơn vị vận chuyển để giao hàng;
  • Chia sẻ danh sách khách hàng cho agency marketing;
  • Sử dụng phần mềm CRM, HRM, ERP hoặc email marketing;
  • Lưu trữ dữ liệu trên nền tảng cloud;
  • Thuê đơn vị IT quản trị hệ thống, bảo trì máy chủ hoặc hỗ trợ kỹ thuật;
  • Chuyển dữ liệu cho công ty mẹ, công ty liên kết hoặc nhà cung cấp ở nước ngoài;
  • Thuê tổng đài, đơn vị chăm sóc khách hàng hoặc xử lý thanh toán.

Không phải mọi trường hợp đều cần một văn bản tên là “DPA”. Tuy nhiên, khi có bên thứ ba tham gia xử lý dữ liệu cá nhân, doanh nghiệp nên có thỏa thuận bằng văn bản để ghi nhận rõ quyền, nghĩa vụ và trách nhiệm của các bên.

Phân định vai trò của các bên trong DPA

Một DPA hiệu quả cần xác định đúng vai trò của từng bên trong hoạt động xử lý dữ liệu cá nhân.

Bên kiểm soát dữ liệu cá nhân thường là bên quyết định mục đích và phương tiện xử lý dữ liệu. Ví dụ, doanh nghiệp thu thập thông tin khách hàng để bán hàng, chăm sóc khách hàng hoặc triển khai chương trình thành viên.

Bên xử lý dữ liệu cá nhân là bên xử lý dữ liệu theo thỏa thuận hoặc chỉ dẫn của bên kiểm soát. Ví dụ, agency marketing, nhà cung cấp cloud, đơn vị vận chuyển, tổng đài chăm sóc khách hàng hoặc nhà cung cấp phần mềm.

Trong một số trường hợp, một bên có thể vừa quyết định mục đích, vừa trực tiếp xử lý dữ liệu. Vì vậy, trước khi soạn DPA, doanh nghiệp cần rà soát luồng dữ liệu thực tế để xác định đúng vai trò pháp lý của từng bên.

Phân định rạch ròi 
Phân định rạch ròi trách nhiệm trong thỏa thuận xử lý dữ liệu cá nhân

Các điều khoản quan trọng cần có trong DPA

Một hợp đồng xử lý dữ liệu cá nhân nên có các nhóm điều khoản chính sau:

1. Phạm vi và mục đích xử lý dữ liệu

DPA cần mô tả rõ loại dữ liệu được xử lý, nhóm chủ thể dữ liệu, mục đích xử lý và phạm vi công việc của bên xử lý. Điều khoản này giúp hạn chế tình trạng bên xử lý sử dụng dữ liệu vượt quá mục đích đã thỏa thuận.

Ví dụ, nếu agency chỉ được nhận email khách hàng để gửi bản tin, agency không được tự ý sử dụng danh sách đó để quảng cáo dịch vụ riêng hoặc chia sẻ cho bên khác.

2. Nghĩa vụ bảo mật và biện pháp bảo vệ dữ liệu

DPA nên quy định các biện pháp bảo vệ phù hợp, chẳng hạn như phân quyền truy cập, lưu vết truy cập, giới hạn tải xuống dữ liệu, mã hóa hoặc các biện pháp bảo mật khác tùy tính chất dữ liệu và hệ thống vận hành.

Điều khoản này cũng nên yêu cầu bên xử lý bảo đảm nhân viên, nhà thầu hoặc người được cấp quyền truy cập dữ liệu phải tuân thủ nghĩa vụ bảo mật.

3. Hạn chế sử dụng và chia sẻ dữ liệu

Bên xử lý không nên được tự ý sử dụng dữ liệu cho mục đích riêng, bán dữ liệu, chia sẻ dữ liệu cho bên khác hoặc chuyển dữ liệu ra nước ngoài nếu chưa có cơ sở phù hợp hoặc chưa được bên kiểm soát chấp thuận theo thỏa thuận.

Nếu bên xử lý cần sử dụng nhà thầu phụ, DPA nên quy định cơ chế chấp thuận trước và yêu cầu nhà thầu phụ chịu nghĩa vụ bảo vệ dữ liệu không thấp hơn nghĩa vụ của bên xử lý.

4. Xử lý sự cố dữ liệu cá nhân

DPA nên quy định rõ thời hạn và cách thức thông báo khi bên xử lý phát hiện sự cố dữ liệu cá nhân, chẳng hạn như rò rỉ, mất mát, truy cập trái phép hoặc sử dụng sai mục đích.

Thời hạn thông báo nội bộ cần đủ ngắn để bên kiểm soát kịp đánh giá nghĩa vụ thông báo cho cơ quan có thẩm quyền hoặc chủ thể dữ liệu theo quy định pháp luật.

5. Hỗ trợ quyền của chủ thể dữ liệu

Khi chủ thể dữ liệu yêu cầu xem, chỉnh sửa, cung cấp, xóa, hạn chế xử lý hoặc rút lại sự đồng ý, các bên cần có cơ chế phối hợp rõ ràng. DPA nên quy định bên nào tiếp nhận yêu cầu, bên nào xử lý kỹ thuật và thời hạn phối hợp nội bộ.

Điều này đặc biệt quan trọng đối với các hệ thống CRM, thương mại điện tử, nhân sự, chăm sóc khách hàng hoặc nền tảng số có lượng người dùng lớn.

6. Hoàn trả, xóa hoặc tiêu hủy dữ liệu khi chấm dứt hợp đồng

Khi hợp đồng dịch vụ kết thúc, DPA nên quy định rõ bên xử lý phải hoàn trả, xóa hoặc tiêu hủy dữ liệu cá nhân theo yêu cầu, trừ trường hợp pháp luật yêu cầu lưu giữ.

Doanh nghiệp cũng nên yêu cầu xác nhận bằng văn bản hoặc bằng chứng phù hợp về việc xóa, tiêu hủy hoặc hoàn trả dữ liệu.

7. Trách nhiệm bồi thường và xử lý vi phạm

DPA cần phân bổ trách nhiệm giữa các bên nếu có vi phạm, rò rỉ dữ liệu hoặc sử dụng dữ liệu sai mục đích. Điều khoản bồi thường nên bao gồm chi phí khắc phục sự cố, chi phí xử lý khiếu nại, thiệt hại thực tế và các nghĩa vụ phát sinh theo quy định pháp luật, tùy từng trường hợp.

Các điều khoản trọng tâm bắt buộc có trong hợp đồng DPA

Rủi ro nếu doanh nghiệp thiếu DPA

Việc không có thỏa thuận rõ ràng với bên xử lý dữ liệu có thể dẫn đến nhiều rủi ro:

  • Khó xác định bên chịu trách nhiệm khi dữ liệu bị rò rỉ;
  • Không kiểm soát được việc bên thứ ba sử dụng hoặc chia sẻ dữ liệu;
  • Thiếu căn cứ yêu cầu bên xử lý hỗ trợ khi có sự cố;
  • Khó chứng minh doanh nghiệp đã áp dụng biện pháp quản trị phù hợp;
  • Phát sinh tranh chấp với khách hàng, đối tác hoặc nhà cung cấp;
  • Tăng rủi ro bị xử phạt nếu hoạt động xử lý dữ liệu vi phạm pháp luật.

Đặc biệt, đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa đối với tổ chức có thể lên đến 5% doanh thu của năm trước liền kề. Đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân, mức phạt tối đa là 03 tỷ đồng; riêng hành vi mua bán dữ liệu cá nhân, mức phạt tối đa là 10 lần khoản thu có được từ hành vi vi phạm, tùy tính chất và mức độ vi phạm.

Checklist rà soát DPA cho doanh nghiệp

Doanh nghiệp có thể bắt đầu bằng các câu hỏi sau:

  1. Doanh nghiệp có đang chia sẻ dữ liệu cá nhân cho bên thứ ba không?
  2. Bên thứ ba đó xử lý dữ liệu cho mục đích gì?
  3. Hợp đồng hiện tại có điều khoản bảo vệ dữ liệu cá nhân không?
  4. Có giới hạn việc bên xử lý sử dụng dữ liệu cho mục đích riêng không?
  5. Có quy định về bảo mật, phân quyền và thông báo sự cố không?
  6. Có cơ chế hỗ trợ quyền của chủ thể dữ liệu không?
  7. Có điều khoản về nhà thầu phụ, chuyển dữ liệu xuyên biên giới và xóa dữ liệu khi chấm dứt hợp đồng không?
  8. Có điều khoản bồi thường nếu bên xử lý làm lộ hoặc sử dụng sai dữ liệu không?

Nếu nhiều câu trả lời là “chưa rõ”, doanh nghiệp nên rà soát lại hợp đồng với nhà cung cấp và đối tác càng sớm càng tốt.

Thiet ke chua co ten 3Hợp đồng xử lý dữ liệu cá nhân DPA là công cụ quan trọng giúp doanh nghiệp kiểm soát rủi ro khi chia sẻ dữ liệu cho bên thứ ba. Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đã có hiệu lực, doanh nghiệp nên chủ động rà soát các hợp đồng hiện có, bổ sung điều khoản bảo vệ dữ liệu và thiết lập cơ chế phối hợp rõ ràng với đối tác.

Việc chuẩn bị DPA phù hợp không chỉ giúp doanh nghiệp hạn chế rủi ro pháp lý, mà còn tăng mức độ tin cậy với khách hàng, đối tác và nhà đầu tư.

Liên hệ Global Vietnam Lawyers để được tư vấn rà soát, soạn thảo và đàm phán hợp đồng xử lý dữ liệu cá nhân DPA phù hợp với nhu cầu của doanh nghiệp. 

Bài viết liên quan

thumbnail chuyen du lieu ca nhan xuyen bien gioi 2026 huong

Chuyển dữ liệu cá nhân xuyên biên giới 2026: Doanh nghiệp cần lưu ý gì?

thumbnail xu phat vi pham du lieu ca nhan 2026 muc phat moi

Xử phạt vi phạm dữ liệu cá nhân 2026: Doanh nghiệp cần lưu ý gì?

thumbnail luat bao ve du lieu ca nhan 2026 cap nhat huong da

Luật bảo vệ dữ liệu cá nhân 2026: Cập nhật & Hướng dẫn

thumbnail dich vu tu van tuan thu luat bao ve du lieu ca nha

Dịch vụ tư vấn tuân thủ luật bảo vệ dữ liệu cá nhân

thumbnail huong dan danh gia tac dong du lieu ca nhan dpia

Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân DPIA cho doanh nghiệp

xử lý khủng hoảng truyền thông pháp lý

Xử lý khủng hoảng truyền thông pháp lý cho doanh nghiệp