10 điều khoản bảo mật cần có trong hợp đồng nhà cung cấp

Gợi ý 10 điều khoản bảo mật thông tin trong hợp đồng với nhà cung cấp, giúp doanh nghiệp đáp ứng nghĩa vụ bảo vệ dữ liệu theo tinh thần Nghị định bảo vệ dữ liệu cá nhân. 

1. Vì sao phải “siết” bảo mật trong hợp đồng nhà cung cấp? 

Ngày càng nhiều hoạt động của doanh nghiệp được thuê ngoài: cloud, CRM, email marketing, call center, kế toán dịch vụ, logistics… Điều đó có nghĩa là dữ liệu cá nhân của khách hàng và nhân sự không chỉ nằm tronghệ thống của bạn, mà còn nằm ở hệ thống của nhà cung cấp. 

Theo tinh thần Nghị định bảo vệ dữ liệu cá nhân (Nghị định 13/2023/NĐ-CP), doanh nghiệp vẫn phải chịu nghĩa vụ bảo vệ dữ liệu của doanh nghiệp đối với dữ liệu do mình thu thập – kể cả khi giao cho bên thứ ba xửlý. Vì vậy, hợp đồng với nhà cung cấp (đặc biệt là hợp đồng xử lý dữ liệu) cần có các điều khoản bảo mật thông tin rõ ràng, có thể chứng minh được khi cần. 

Dưới đây là 10 điều khoản gợi ý bạn nên cân nhắc đưa vào hoặc rà soát lại trong hợp đồng. (Lưu ý: đây là gợi ý thực tiễn, không thay thế tư vấn pháp lý chuyên sâu.) 

2. 10 điều khoản bảo mật bắt buộc nên có trong hợp đồng nhà cung cấp 

1. Mô tả rõ loại dữ liệu cá nhân và phạm vi xử lý 

Hợp đồng cần ghi rõ: 

• Nhà cung cấp sẽ xử lý những loại dữ liệu nào (ví dụ: họ tên, email, số điện thoại, lịch sử giao dịch…). 
• Dữ liệu thuộc nhóm khách hàng, nhân sự, đối tác nào. 
• Có hay không dữ liệu cá nhân nhạy cảm. 

Điều này giúp: 

• Tránh việc nhà cung cấp “ôm” quá nhiều dữ liệu ngoài dự kiến. 
• Dễ chứng minh với cơ quan quản lý rằng bạn biết rõ mình đang chia sẻ những gì. 

2. Mục đích xử lý và giới hạn sử dụng 

Hợp đồng phải nêu rõ: 

• Dữ liệu được dùng để làm gì (ví dụ: vận hành hệ thống CRM, gửi email, hỗ trợ khách hàng…). 
• Cấm nhà cung cấp sử dụng dữ liệu cho mục đích riêng (marketing riêng, phân tích độc lập, bán cho bên khác…) nếu không có sự đồng ý rõ ràng. 

Đây là điểm cốt lõi trong Nghị định bảo vệ dữ liệu cá nhân: chỉ xử lý trong phạm vi mục đích đã thông báo/đã được đồng ý. 

3. Biện pháp bảo mật kỹ thuật và tổ chức tối thiểu 

Không cần liệt kê quá chi tiết, nhưng nên có một điều khoản yêu cầu nhà cung cấp: 

• Áp dụng biện pháp bảo mật phù hợp: mã hóa, kiểm soát truy cập, log, phân quyền, backup… 
• Có chính sách nội bộ về bảo mật thông tin và đào tạo nhân viên. 

Bạn có thể yêu cầu nhà cung cấp mô tả tóm tắt các biện pháp này trong phụ lục hoặc tài liệu đi kèm hợp đồng. 

4. Quản lý nhân sự nội bộ và truy cập dữ liệu 

Điều khoản này quy định: 

• Chỉ những nhân sự cần thiết của nhà cung cấp mới được truy cập dữ liệu. 
• Nhân sự phải ký cam kết bảo mật. 
• Nhà cung cấp có cơ chế thu hồi quyền truy cập khi nhân sự nghỉ việc hoặc đổi vị trí. 

Như vậy, dữ liệu cá nhân không bị “rơi vãi” khi nhân sự phía họ thay đổi. 

5. Sub-processor: nhà cung cấp có được thuê thêm bên thứ ba không? 

Nhiều nhà cung cấp lại tiếp tục thuê các bên khác (sub-processor) để vận hành dịch vụ. Hợp đồng nên ghi rõ: 

• Nhà cung cấp chỉ được sử dụng bên thứ ba khác khi có thông báo và/hoặc chấp thuận bằng văn bản của bạn. 
• Họ phải đảm bảo bên thứ ba cũng tuân thủ các điều khoản bảo mật thông tin tương đương, và chịu trách nhiệm với bạn về hành vi của bên thứ ba. 

6. Thời hạn lưu trữ, trả lại và xóa dữ liệu 

Đây là phần thường bị bỏ sót. Cần làm rõ: 

• Nhà cung cấp được phép giữ dữ liệu trong bao lâu. 
• Khi hợp đồng kết thúc, họ phải: 
• Trả lại toàn bộ dữ liệu theo định dạng thỏa thuận, và/hoặc 
• Xóa/ẩn danh dữ liệu khỏi hệ thống của họ trong thời gian X, 
• Cung cấp biên bản/xác nhận việc xóa nếu cần. 

Điều khoản này giúp bạn tránh tình trạng dữ liệu vẫn “trôi nổi” sau khi đã chấm dứt hợp tác. 

7. Hỗ trợ đáp ứng yêu cầu của chủ thể dữ liệu 

Theo tinh thần Nghị định 13, cá nhân có quyền: 

• Yêu cầu xem, sửa, xóa dữ liệu của mình. 
• Rút lại sự đồng ý trong một số trường hợp. 

Hợp đồng nên quy định nhà cung cấp phải: 

• Hỗ trợ bạn cung cấp, chỉnh sửa, xóa dữ liệu trên hệ thống của họ khi có yêu cầu hợp lệ. 
• Thực hiện trong thời gian hợp lý để bạn kịp đáp ứng nghĩa vụ với khách hàng/cá nhân. 

8. Thông báo và phối hợp xử lý khi xảy ra sự cố dữ liệu 

Nếu có sự cố: lộ dữ liệu, truy cập trái phép, mất dữ liệu…, nhà cung cấp phải: 

• Thông báo cho bạn càng sớm càng tốt sau khi phát hiện. 
• Cung cấp thông tin cần thiết: thời điểm, phạm vi ảnh hưởng, loại dữ liệu liên quan, biện pháp đã/đang thực hiện. 
• Phối hợp điều tra, khắc phục, và chuẩn bị thông tin nếu phải báo cho cơ quan có thẩm quyền hoặc người dùng. 

Điều này giúp hai bên phản ứng nhanh và thống nhất thông điệp, hạn chế thiệt hại uy tín. 

9. Quyền kiểm tra, audit và báo cáo 

Để đảm bảo nhà cung cấp thực hiện đúng nghĩa vụ bảo vệ dữ liệu của doanh nghiệp, hợp đồng nên: 

• Cho phép bạn (hoặc bên thứ ba do bạn chỉ định) kiểm tra/audit ở mức hợp lý về mặt bảo mật dữ liệu. 
• Yêu cầu nhà cung cấp cung cấp: 
• Một số báo cáo định kỳ (ví dụ: báo cáo bảo mật, chứng chỉ, xác nhận audit độc lập). 
• Thông tin khi có thay đổi lớn về hạ tầng, chính sách bảo mật. 

Không nhất thiết phải audit sâu như tập đoàn, nhưng chỉ riêng việc có điều khoản này đã tạo áp lực để nhà cung cấp giữ chuẩn mực tối thiểu. 

10. Trách nhiệm pháp lý, bồi thường và chấm dứt hợp đồng 

Cuối cùng, hợp đồng cần có điều khoản: 

• Ràng buộc trách nhiệm của nhà cung cấp nếu vi phạm điều khoản bảo mật thông tin, gây thiệt hại thực tế (ví dụ: bị phạt, bị kiện, mất mát dữ liệu). 
• Quy định rõ quyền chấm dứt hợp đồng sớm của bạn nếu nhà cung cấp: 
• Vi phạm nghiêm trọng nghĩa vụ bảo mật, 
• Không khắc phục sau thời gian đã thỏa thuận. 

Điều khoản này không chỉ mang tính “trừng phạt” mà còn là đòn bẩy để hai bên nghiêm túc tuân thủ những gì đã cam kết. 

3. Doanh nghiệp nhỏ nên bắt đầu từ đâu? 

Bạn không cần sửa toàn bộ hợp đồng trong một ngày. Có thể: 

1. Rà soát các hợp đồng hiện tại với những nhà cung cấp đang nắm nhiều dữ liệu cá nhân (CRM, cloud, thanh toán, call center…). 
2. Đánh dấu xem trong 10 điều khoản trên, hợp đồng đã có gì, thiếu gì. 
3. Khi gia hạn hoặc ký hợp đồng mới, từng bước bổ sung các điều khoản còn thiếu, ưu tiên những hợp đồng rủi ro cao. 
4. Làm một bản mẫu điều khoản bảo mật thông tin chuẩn cho công ty, sau này dùng lại cho nhiều hợp đồng. 

Việc đưa các điều khoản này vào hợp đồng không chỉ để “cho đúng luật”, mà còn giúp bạn thiết lập mối quan hệ minh bạch, lâu dài với nhà cung cấp – nơi đang giữ một phần tài sản quý nhất của doanh nghiệp: dữ liệu cánhân của khách hàng và nhân sự.