Nội dung văn bản đang được cập nhật, vui lòng tải file về để xem!
QUỐC HỘI | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Luật số: /2025/QH15 |
|
DỰ THẢO |
|
LUẬT
BẢO VỆ DỮ LIỆU CÁ NHÂN
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân.
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Luật này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
2. Luật này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam;
đ) Cơ quan, tổ chức, cá nhân thu thập, xử lý dữ liệu cá nhân của người nước ngoài trên phạm vi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam.
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân, gồm:
a) Họ, chữ đệm và tên khai sinh, bí danh (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng.
l) Các thông tin khác gắn liền với danh tính của công dân không thuộc quy định tại 4 Điều này.
4. Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc,
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất;
k) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
l) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
5. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.
6. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
7. Bảo vệ dữ liệu cá nhân là hoạt động tuyên truyền, hướng dẫn, bảo đảm, quản lý, vận hành, phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
8. Quyền bảo vệ dữ liệu cá nhân là quyền của cá nhân được thực hiện hoặc yêu cầu các cơ quan, tổ chức, cá nhân tôn trọng, bảo vệ và thực hiện các biện pháp cụ thể để bảo vệ dữ liệu cá nhân của mình.
9. Sự đồng ý của chủ thể dữ liệu là thông tin được thể hiện rõ ràng, tự nguyện, khẳng định về việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
10. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
11. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
12. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
13. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
14. Nhà phát triển liên quan tới bảo vệ dữ liệu cá nhân là cá nhân hoặc tổ chức có liên quan đến quá trình phát triển chương trình, ứng dụng, phần mềm, hệ thống công nghệ thông tin có thu thập, xử lý, lưu trữ dữ liệu cá nhân.
15. Tổ chức bảo vệ dữ liệu cá nhân là tổ chức được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm bộ phận bảo vệ dữ liệu cá nhân,
16. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân là việc các tổ chức, doanh nghiệp có năng lực về công nghệ và pháp lý về bảo vệ dữ liệu cá nhân cung cấp dịch vụ Tổ chức bảo vệ dữ liệu cá nhân nhằm đáp ứng nhu cầu của Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam.
17. Chuyên gia bảo vệ dữ liệu cá nhân là người được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm nhân sự bảo vệ dữ liệu cá nhân, có năng lực về công nghệ và/hoặc pháp lý về bảo vệ dữ liệu cá nhân, được nêu cụ thể trong Hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
18. Kinh doanh dịch vụ Chuyên gia bảo vệ dữ liệu cá nhân là việc các tổ chức, doanh nghiệp, cá nhân có năng lực về công nghệ và pháp lý về bảo vệ dữ liệu cá nhân cung cấp dịch vụ Chuyên gia bảo vệ dữ liệu cá nhân nhằm đáp ứng nhu cầu của Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam.
19. Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chứng nhận, ủy quyền và có khả năng thẩm định, kiểm tra, xác nhận, cấp Giấy chứng nhận đủ điều kiện cho Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân.
20. Xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân là việc đánh giá mức độ uy tín của tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân.
21. Tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chứng nhận, ủy quyền và có khả năng thẩm định, kiểm tra, xác nhận, xếp hạng mức độ tín nhiệm về bảo vệ dữ liệu cá nhân.
22. Dịch vụ xử lý dữ liệu cá nhân là ngành, nghề kinh doanh có điều kiện cung cấp các giải pháp xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân.
23. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
24. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân.
25. Khử nhận dạng dữ liệu cá nhân là quá trình ẩn danh hoặc xóa các nội dung định danh hoặc thay thế chúng bằng tên hoặc mã giả tưởng khác để tạo ra dữ liệu mới không thể xác định một cá nhân cụ thể.
26. Sử dụng dữ liệu cá nhân để tiếp thị là hoạt động liên quan tới việc gọi điện, gửi email, tin nhắn, thư hoặc truyền tải các thông tin tiếp thị khác tới người tiêu dùng thông qua dữ liệu cá nhân của khách hàng đã thu thập trước đó.
27. Sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể là hoạt động sử dụng dữ liệu cá nhân của khách hàng hoặc dữ liệu hành vi của khách hàng để quảng cáo theo mục tiêu được xác định.
28. Vi phạm quy định về bảo vệ dữ liệu cá nhân là các hoạt động vi phạm, không thực hiện, thực hiện không đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân khác.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức.
2. Dữ liệu cá nhân được xử lý công khai, minh bạch. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Công ty mẹ, công ty con và mỗi công ty trong thành viên tập đoàn kinh tế, tổng công ty có trách nhiệm bảo vệ dữ liệu cá nhân độc lập theo quy định của pháp luật. Sự đồng ý của chủ thể dữ liệu đối với một công ty không đồng nghĩa với việc đồng ý cho toàn bộ các công ty trong thành viên tập đoàn kinh tế, tổng công ty xử lý dữ liệu cá nhân.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 8 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Điều 5. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân
1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.
3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng và vận động xã hội bảo vệ dữ liệu cá nhân.
5. Xây dựng, đào tạo, bồi dưỡng đội ngũ cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Thống kê tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.
8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Điều 6. Áp dụng Luật bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
1. Luật khác có quy định về bảo vệ dữ liệu cá nhân thì không được trái với quy định tại Luật này. Trường hợp luật khác không quy định hoặc có quy định về bảo vệ dữ liệu cá nhân mà khác với quy định của Luật này thì áp dụng theo quy định của Luật này.
2. Việc bảo vệ dữ liệu cá nhân được thực hiện theo các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.
Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân.
3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân.
4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
6. Thu thập, xử lý, chuyển giao dữ liệu cá nhân trái phép và mua bán dữ liệu cá nhân.
7. Chuyển giao dữ liệu cá nhân cho các tổ chức, cá nhân không phù hợp với mục đích xử lý dữ liệu.
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ liệu
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được thu thập, trừ trường hợp luật có quy định khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
6. Quyền hạn chế xử lý dữ liệu
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi nghi ngờ tính chính xác của dữ liệu hoặc dữ liệu không thể hạn chế xử lý dữ liệu do quy định của luật;
b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
8. Quyền phản đối xử lý dữ liệu
a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị;
b) Phản đối của chủ thể dữ liệu vô hiệu khi luật đã có quy định khác;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
9. Quyền khiếu nại, tố cáo
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan.
10. Quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
11. Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan, theo quy định tại Luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
Điều 10. Nghĩa vụ của chủ thể dữ liệu
1. Có trách nhiệm tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
5. Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực nếu dựa trên sự tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Không được kèm theo điều kiện bắt buộc phải đồng ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không đúng mục đích thu thập. Chủ thể dữ liệu có quyền từ chối điều kiện này.
4. Sự đồng ý của chủ thể dữ liệu phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng, cụ thể, như: bằng văn bản, bằng giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
5. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
6. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
7. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
8. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
9. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
10. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
11. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
12. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
Điều 13. Thông báo xử lý dữ liệu cá nhân
1. Việc thông báo được thực hiện một (01) lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Luật này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
Điều 14. Cung cấp dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân:
a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, tổ chức, cá nhân mà chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền trong trường hợp:
a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;
c) Chủ thể dữ liệu không đồng ý cho tổ chức, cá nhân mà chủ thể dữ liệu đồng ý cho phép đại và diện ủy quyền được nhận dữ liệu cá nhân của mình.
5. Hình thức yêu cầu cung cấp dữ liệu cá nhân
a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân.
Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân;
b) Gửi Phiếu yêu cầu qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có);
b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
c) Hình thức cung cấp dữ liệu cá nhân;
d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân.
7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.
8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân
a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu.
b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc trách nhiệm cung cấp thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có trách nhiệm cung cấp dữ liệu cá nhân hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân.
9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân
Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
Điều 15. Chỉnh sửa dữ liệu cá nhân
1. Chủ thể dữ liệu:
a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác.
b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:
a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
b) Rút lại sự đồng ý;
c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:
a) Pháp luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
d) Dữ liệu cá nhân được xử lý phục vụ mục đích phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục hoặc hủy dữ liệu cá nhân trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
1. Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong tình huống khẩn cấp. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Việc công khai dữ liệu cá nhân theo quy định của luật.
3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
1. Cơ quan, tổ chức được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
2. Trường hợp ghi âm, ghi hình theo quy định tại khoản 1 Điều này, cơ quan, tổ chức có trách nhiệm thông báo để người khác hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
Điều 19. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Luật này.
2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
Điều 20. Xử lý dữ liệu cá nhân của trẻ em
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
2. Trước khi xử lý dữ liệu cá nhân của trẻ em, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em và được sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định.
3. Không xử lý dữ liệu cá nhân của trẻ em mà không được sự đồng ý của trẻ em từ đủ 7 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em, trừ trường hợp quy định tại Điều 17 Nghị định này.
4. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác.
b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác.
c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị
1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị. Việc thu thập, sử dụng dữ liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu quy định tại Điều 9 Luật này.
2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
3. Việc sử dụng dữ liệu cá nhân để tiếp thị phải phù hợp với quy định của pháp luật về phòng chống thư rác, sim rác.
4. Chủ thể dữ liệu có quyền yêu cầu ngừng nhận thông tin từ dịch vụ tiếp thị. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị phải ngừng ngay lập tức sau khi có yêu cầu của chủ thể dữ liệu.
5. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị không được thuê hoặc thỏa thuận để một tổ chức khác thực hiện hoặc hỗ trợ việc thực hiện việc kinh doanh tiếp thị.
6. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1, 2, 3, 4, 5 Điều này.
1. Việc thu thập dữ liệu thông qua việc theo dõi website, ứng dụng chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu.
2. Các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải thiết lập hoạt động cho phép chủ thể dữ liệu từ chối chia sẻ dữ liệu cho các bối cảnh khác nhau.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể.
4. Việc thu thập, sử dụng dữ liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu quy định tại Điều 9 Luật này.
Điều 23. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
1. Các tổ chức, cá nhân được quyền khai thác dữ liệu cá nhân trên các nền tảng mà chủ thể dữ liệu công khai thông tin cá nhân mà không có bất kỳ sự hạn chế nào.
2. Chỉ được sử dụng dữ liệu lớn thu được cho các hoạt động kinh doanh theo quy định của pháp luật.
3. Các công ty hoạt động với vai trò là Bên xử lý dữ liệu cá nhân phải được đăng ký và quản lý bởi cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 24. Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo
1. Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các thuật toán tự học, trí tuệ nhân tạo và các hệ thống tự động khác.
2. Thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích ảnh hưởng thuận toán, trí tuệ nhân tạo và các hệ thống tự động đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.
3. Đưa ra các lựa chọn để chủ thể dữ liệu có quyền không tham gia.
Điều 25. Bảo vệ dữ liệu cá nhân trong điện toán đám mây
1. Áp dụng các biện pháp kỹ thuật và tổ chức để tránh dữ liệu bị truy cập trái phép.
2. Các tổ chức, cá nhân ký kết hợp đồng, thỏa thuận có liên quan tới xử lý dữ liệu cá nhân với các doanh nghiệp cung cấp dịch vụ điện toán đám mây phải yêu cầu:
a) Nêu rõ trong nội dung hợp đồng, thỏa thuận về việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm; chấp hành quy định về việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của pháp luật;
b) Chỉ xử lý dữ liệu của khách hàng vì lợi ích và thay mặt cho khách hàng;
c) Có yêu cầu về các biện pháp bảo mật, kỹ thuật, tổ chức và được nêu rõ trong hợp đồng;
d) Thông báo ngay lập tức bất kỳ sự thay đổi nào có thể ảnh hưởng tới dữ liệu cá nhân;
đ) Bồi thường thiệt hại (nếu có);
e) Cung cấp các báo cáo kiểm toán hợp lý, xóa các dữ liệu khách hàng theo yêu cầu;
g) Thực hiện đầy đủ các biện pháp kỹ thuật để bảo đảm quyền truy cập dữ liệu được phân cấp một cách hợp lý.
3. Các doanh nghiệp cung cấp dịch vụ điện toán đám mây:
a) Chấp hành các quy định về bảo vệ dữ liệu cá nhân của Việt Nam, cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm, chấp hành quy định về việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của pháp luật;
b) Đề nghị các nhà thầu phụ thực hiện các quy định và nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
c) Áp dụng các biện pháp kỹ thuật và tổ chức ở mức phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của mình.
Điều 26. Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động
1. Chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động.
2. Các thông tin được cung cấp trong hồ sơ người lao động được xử lý theo quy định của pháp luật và phải được sự đồng ý của chủ thể dữ liệu.
3. Hồ sơ người lao động được lưu trữ có thời hạn theo quy định của pháp luật và phải được xóa khi không còn yêu cầu hoặc kết thúc thời gian theo quy định.
4. Khi dữ liệu cá nhân của người lao động được cập nhật lên hệ thống sở dữ liệu người lao động toàn cầu:
a) Pháp nhân thu thập và xử lý dữ liệu cá nhân phải chứng minh được việc thu thập và xử lý dữ liệu là hợp pháp;
b) Chủ thể dữ liệu chịu trách nhiệm về tính hợp pháp của thông tin do mình cung cấp.
5. Các công ty nước ngoài tuyển dụng và xử lý dữ liệu cá nhân của nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam:
a) Tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật Việt Nam;
b) Có văn bản, thỏa thuận, hợp đồng với công ty đầu tư tại Việt Nam về việc xử lý dữ liệu cá nhân của người lao động;
c) Cung cấp cho công ty đầu tư tại Việt Nam bản sao dữ liệu về nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam để tuân thủ các quy định của pháp luật khi cần thiết.
6. Việc xử lý dữ liệu cá nhân áp dụng các biện pháp công nghệ, kỹ thuật giám sát người lao động là nhân viên công ty:
a) Áp dụng các biện pháp quản lý phù hợp với quy định của pháp luật và bảo đảm quyền và lợi ích của chủ thể dữ liệu, trên cơ sở nhân viên công ty biết rõ và đồng ý với việc giám sát;
b) Nêu rõ thông tin về biện pháp, công nghệ, nội dung giám sát người lao động trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
c) Cam kết không sử dụng các công nghệ, giải pháp kỹ thuật và giám sát những nội dung pháp luật không cho phép.
Điều 27. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng
1. Các công ty tài chính, ngân hàng, tín dụng:
a) Không được mua, bán thông tin tín dụng hoặc chuyển giao trái phép thông tin tín dụng giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;
b) Không được gửi, truyền bản rõ dữ liệu về tài chính, tín dụng của chủ thể dữ liệu giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;
c) Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn bảo mật về thanh toán, tín dụng theo quy định của pháp luật;
d) Không được sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu;
đ) Kết quả đánh giá thông tin tín dụng của chủ thể dữ liệu chỉ được dưới dạng Đạt hoặc Không Đạt, Có hoặc Không, Đúng hoặc Sai, hoặc thang điểm trên cơ sở dữ liệu mà các tổ chức tài chính, ngân hàng, tín dụng, thông tin tín dụng thu thập trực tiếp từ khách hàng;
e) Xác định và tuyên bố rõ ràng về các khâu đoạn cần áp dụng biện pháp khử nhận dạng dữ liệu cá nhân;
g) Phải thông báo cho chủ thể dữ liệu về các sự cố và việc mất các thông tin về tài khoản tài chính.
2. Các tổ chức kinh doanh dịch vụ thông tin tín dụng, ngân hàng, bảo hiểm, tài chính, trung gian thanh toán không được cung cấp, chuyển giao trái phép dữ liệu cá nhân cho nhau và với các tổ chức doanh nghiệp khác, trừ trường hợp được luật cho phép.
3. Chỉ được cung cấp thông tin tín dụng, sản phẩm thông tin tín dụng của chủ thể dữ liệu cho các tổ chức, cá nhân là các tổ chức tài chính, ngân hàng, tín dụng khi có quy định của luật.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là đầu mối yêu cầu cung cấp thông tin tín dụng phục vụ điều tra, xử lý hành vi vi phạm pháp luật theo quy định.
Điều 28. Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm
1. Bắt buộc phải có sự đồng ý của chủ thể dữ liệu trong quá trình thu thập, xử lý dữ liệu.
2. Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các quy định khác về bảo vệ sức khỏe theo quy định của pháp luật.
3. Các tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho các tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu.
4. Áp dụng các biện pháp quản lý để giảm thiểu thu thập, xử lý lượng dữ liệu cá nhân liên quan tới sức khỏe.
5. Các nhà phát triển phải tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân, trách nhiệm nghề nghiệp, tiêu chuẩn đạo đức và quy định về sản phẩm y tế khi xử lý dữ liệu cá nhân.
6. Trường hợp doanh nghiệp nhượng tái bảo hiểm và có chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng.
Điều 29. Ký kết hợp đồng, thỏa thuận với chủ thể dữ liệu
1. Các hợp đồng, thỏa thuận với chủ thể dữ liệu phải có nội dung liên quan tới bảo vệ dữ liệu cá nhân. Trong đó, nêu rõ trách nhiệm, quyền lợi và nghĩa vụ phải tuân thủ của các bên tham gia.
2. Nêu rõ nội dung trường hợp áp dụng các công nghệ, biện pháp giám sát người lao động và yêu cầu sự đồng ý.
1. Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến (RFID) và các công nghệ khác trừ khi có sự đồng ý rõ ràng của chủ thể dữ liệu hoặc khi có yêu cầu pháp luật.
2. Các nền tảng ứng dụng di động cần có sự thông báo rõ ràng với khách hàng và người sử dụng về việc sử dụng dữ liệu vị trí và có biện pháp ngăn chặn việc thu thập dữ liệu vị trí của các tổ chức, cá nhân không liên quan.
3. Áp dụng đầy đủ quy định bảo vệ dữ liệu cá nhân đối với các hoạt động quảng cáo dựa trên hành vi và vị trí của người dùng.
1. Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT) có trách nhiệm:
a) Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam.
b) Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ OTT. Không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
c) Không được yêu cầu chụp ảnh căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản.
d) Cung cấp lựa chọn cho phép người dùng từ chối thu thập cookies và chia sẻ cookies.
đ) Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ OTT khi có sự đồng ý của người sử dụng.
e) Thông báo cụ thể, rõ ràng, bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng.
g) Nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu là hành vi vi phạm pháp luật.
2. Dữ liệu cá nhân đăng ký tài khoản mạng xã hội, dịch vụ OTT không phải là dữ liệu công khai và không thuộc trường hợp được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu.
Điều 32. Dữ liệu sinh trắc học
1. Các tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học áp dụng đầy đủ quy định về bảo vệ liệu cá nhân theo quy định của pháp luật.
2. Thông báo rõ ràng về hậu quả, rủi ro tiềm ẩn khi thu thập, xử lý dữ liệu sinh trắc của chủ thể dữ liệu.
Điều 33. Phòng, chống thu thập, chuyển giao trái phép, mua, bán dữ liệu cá nhân
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
3. Việc cho phép các tổ chức, cá nhân sử dụng dịch vụ của mình để mua bán dữ liệu cá nhân là vi phạm pháp luật.
Điều 34. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do trì hoãn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân xử lý hành vi vi phạm.
6. Tổ chức, cá nhân thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa Chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
d) Đề nghị xem xét lại tính hợp pháp của quyết định hành chính, xử lý hành chính, xử lý kỷ luật;
đ) Trường hợp khác theo quy định của pháp luật.
SỬ DỤNG DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG KINH DOANH
Điều 35. Sử dụng dữ liệu cá nhân trong hoạt động kinh doanh
1. Dữ liệu cá nhân được sử dụng vào hoạt động kinh doanh khi bảo đảm đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Việc kinh doanh dữ liệu cá nhân phải phù hợp với ngành nghề kinh doanh đã đăng ký và phù hợp với mục đích xử lý dữ liệu đã cam kết, ký kết với chủ thể dữ liệu.
4. Chỉ cơ quan nhà nước có thẩm quyền được pháp luật cho phép mới được đánh giá xếp hạng công dân dựa trên dữ liệu cá nhân nhằm bảo đảm quyền con người được Hiến pháp ghi nhận.
Điều 36. Tổ chức bảo vệ dữ liệu cá nhân
1. Tổ chức bảo vệ dữ liệu cá nhân, gồm:
a) Tổ chức đủ năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân;
b) Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu cá nhân.
2. Tổ chức đủ năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ và pháp lý.
3. Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ.
4. Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về pháp lý.
5. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Tổ chức bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.
Điều 37. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân
1. Điều kiện kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân:
a) Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý.
b) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
2. Hồ sơ phê duyệt kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân, bao gồm:
a) Đơn đề nghị kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân;
b) Giấy tờ chứng minh tư cách pháp lý của tổ chức đề nghị: Bản sao chứng Quyết định thành lập hoặc các tài liệu tương đương khác;
c) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý;
d) Giấy chứng nhận xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
2. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, phê duyệt Hồ sơ đề nghị kinh doanh Tổ chức bảo vệ dữ liệu cá nhân.
3. Thủ tục phê duyệt Hồ sơ đề nghị kinh doanh Tổ chức bảo vệ dữ liệu cá nhân:
a) Các tổ chức có nhu cầu gửi 01 bộ hồ sơ theo quy định tại Khoản 2 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định phê duyệt hồ sơ đề nghị kinh doanh Tổ chức bảo vệ dữ liệu cá nhân.
4. Thời hạn của Quyết định phê duyệt là 05 năm kể từ ngày ký ban hành. Hết thời hạn, Tổ chức bảo vệ dữ liệu cá nhân tiếp tục đề nghị cơ quan chuyên trách bảo vệ dữ liệu cá nhân để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý.
5. Đình chỉ hoặc chấm dứt hoạt động của Tổ chức bảo vệ dữ liệu cá nhân theo một trong các trường hợp sau:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 2 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động;
c) Trong 24 tháng không thực hiện hoạt động kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân;
d) Quá trình hoạt động, phát hiện hành vi sai phạm và không bảo đảm năng lực của Tổ chức bảo vệ dữ liệu cá nhân.
Điều 38. Chuyên gia bảo vệ dữ liệu cá nhân
1. Chuyên gia bảo vệ dữ liệu cá nhân, gồm:
a) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý;
b) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ;
c) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý.
2. Điều kiện cấp Giấy chứng nhận đối với chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ và pháp lý:
a) Có văn bằng trình độ cao đẳng trở lên về bảo mật, an toàn thông tin, an ninh mạng;
b) Có văn bằng trình độ cao đẳng trở lên về pháp luật;
c) Đã hoàn thành khóa học Chứng nhận đủ điều kiện năng lực pháp lý và công nghệ về bảo vệ dữ liệu cá nhân.
3. Điều kiện cấp Giấy chứng nhận đối với cá nhân bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý:
a) Có văn bằng trình độ cao đẳng trở lên về pháp luật;
b) Đã hoàn thành khóa học chứng nhận đủ điều kiện về năng lực pháp lý bảo vệ dữ liệu cá nhân.
4. Điều kiện cấp Giấy chứng nhận đối với cá nhân bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ:
a) Có văn bằng trình độ cao đẳng trở lên về bảo mật, an toàn thông tin, an ninh mạng;
b) Đã hoàn thành khóa học chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân.
5. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.
Điều 39. Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân
1. Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân là việc Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân cấp Giấy chứng nhận đủ điều kiện năng lực công nghệ và pháp lý cho chuyên gia về bảo vệ dữ liệu cá nhân.
2. Giấy chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân, bao gồm:
a) Giấy chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân;
b) Giấy chứng nhận đủ điều kiện về năng lực công nghệ bảo vệ dữ liệu cá nhân;
c) Giấy chứng nhận đủ điều kiện về năng lực pháp lý bảo vệ dữ liệu cá nhân.
3. Giấy chứng nhận đủ điều kiện năng về bảo vệ dữ liệu cá nhân do Các Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân cấp.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
Điều 40. Phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân
1. Hồ sơ phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân, bao gồm:
a) Đơn đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
b) Giấy tờ chứng minh tư cách pháp lý của tổ chức đề nghị: Bản sao chứng Quyết định thành lập hoặc các tài liệu tương đương khác.
c) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý.
d) Đề án đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân, gồm các nội dung: Sự cần thiết, mục tiêu; Nội dung đề nghị phê duyệt; Lĩnh vực đề nghị phê duyệt; Ngành nghề, lĩnh vực kinh doanh; Cơ sở vật chất, thiết bị; Chương trình và nội dung chứng nhận; Đối tượng chứng nhận; Tiêu chí chứng nhận; Hình thức tổ chức kiểm tra, đánh giá, chứng nhận; Danh sách người thực hiện tổ chức chứng nhận; Các văn bằng, chứng chỉ của người thực hiện tổ chức chứng nhận; Dự kiến kinh phí hoạt động; Trách nhiệm và quyền hạn của các bên.
2. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định Hồ sơ đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
3. Thủ tục phê duyệt Hồ sơ đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân:
a) Các tổ chức có nhu cầu gửi 01 bộ hồ sơ theo quy định tại Khoản 1 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
4. Thời hạn của Quyết định phê duyệt là 05 năm kể từ ngày ký ban hành. Hết thời hạn, Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Biên bản kiểm tra, xác minh đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.
5. Đình chỉ hoặc chấm dứt hoạt động của Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân theo một trong các trường hợp sau:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 4 và Khoản 6 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động;
c) Trong 24 tháng không thực hiện/ hoạt động chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân;
d) Cấp Giấy Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân không đủ điều kiện theo quy định.
Điều 41. Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
1. Các mức độ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Tín nhiệm cao;
b) Tín nhiệm;
c) Đạt;
d) Không đạt.
2. Loại hình doanh nghiệp được kinh doanh dịch vụ xếp hạng tín nhiệm:
a) Công ty trách nhiệm hữu hạn;
b) Công ty cổ phần;
c) Công ty hợp danh.
3. Phương pháp xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân phải xây dựng phương pháp xếp hạng tín nhiệm để phân tích, đánh giá được khả năng thực hiện đầy đủ, đúng quy định của pháp luật về hoạt động bảo vệ dữ liệu cá nhân của doanh nghiệp khác;
b) Phương pháp xếp hạng tín nhiệm phải đánh giá được các yếu tố rủi ro và mức độ ảnh hưởng đến khả năng thực hiện đầy đủ, đúng nghĩa vụ về bảo vệ dữ liệu cá nhân, gồm các nội dung cơ bản:
- Rủi ro vĩ mô;
- Rủi ro thị trường và môi trường kinh doanh;
- Rủi ro công nghệ, kỹ thuật;
- Rủi ro chiến lược;
- Rủi ro quản trị;
- Rủi ro nhân sự;
- Rủi ro tài chính;
- Các rủi ro khác theo đánh giá của doanh nghiệp xếp hạng tín nhiệm.
3. Việc xếp hạng đánh giá tín nhiệm bảo vệ dữ liệu cá nhân phải được thực hiện bởi chuyên viên phân tích tín nhiệm. Chuyên viên phân tích tín nhiệm tham gia vào từng hợp đồng xếp hạng tín nhiệm phải bảo đảm các yêu cầu cơ bản sau:
a) Có tối thiểu 01 năm hoạt động trên lĩnh vực bảo vệ dữ liệu cá nhân.b) Có ít nhất 2 năm làm việc trực tiếp trong lĩnh vực bảo mật, an toàn thông tin, an ninh mạng hoặc trong lĩnh vực pháp ;
b) Không tham gia hoạt động điều hành doanh nghiệp xếp hạng tín nhiệm;
c) Không đồng thời là thành viên Hội đồng xếp hạng tín nhiệm của cùng hợp đồng xếp hạng tín nhiệm đó.
5. Nhiệm vụ của chuyên viên phân tích tín nhiệm:
a) Thu thập thông tin, phân tích, nhận định, xếp hạng về khả năng thực hiện đầy đủ, đúng quy định của tổ chức được xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân theo phân công của doanh nghiệp xếp hạng tín nhiệm;
b) Báo cáo kết quả xếp hạng tín nhiệm dự kiến lên Hội đồng xếp hạng tín nhiệm theo phân công của doanh nghiệp xếp hạng tín nhiệm;
c) Báo cáo Hội đồng xếp hạng tín nhiệm và đề nghị chấm dứt tham gia vào hợp đồng xếp hạng tín nhiệm trong trường hợp xảy ra xung đột lợi ích theo quy định tại khoảnĐiều này;
6. Các doanh nghiệp không đăng ký kinh doanh dịch vụ xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân thì không được sử dụng cụm từ “xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân” hoặc các cụm từ khác có ý nghĩa tương tự.
7. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
Điều 42. Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
1. Điều kiện cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý;
b) Có vốn pháp định doanh nghiệp là từ 05 (năm) tỷ đồng trở lên;
c) Có tối thiểu 01 năm hoạt động trên lĩnh vực bảo vệ dữ liệu cá ;
d) Có tối thiểu 03 nhân sự đáp ứng được yêu cầu trở thành chuyên viên phân tích tín nhiệm.
đ) Có Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
2. Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân, gồm các nội dung:
a) Sự cần thiết, mục tiêu;
b) Nội dung đề nghị phê duyệt;
c) Lĩnh vực đề nghị phê duyệt;
d) Ngành nghề, lĩnh vực kinh doanh;
đ) Cơ sở vật chất, thiết bị;
e) Chương trình và nội dung chứng nhận;
g) Đối tượng chứng nhận;
h) Tiêu chí chứng nhận;
i) Hình thức tổ chức kiểm tra, đánh giá, chứng nhận;
k) Danh sách người thực hiện tổ chức chứng nhận;
l) Các văn bằng, chứng chỉ của người thực hiện tổ chức chứng nhận;
m) Dự kiến kinh phí hoạt động;
n) Trách nhiệm và quyền hạn của các bên.
3. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân với các doanh nghiệp đủ điều kiện.
4. Thủ tục cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Các doanh nghiệp có nhu cầu gửi 01 bộ hồ sơ theo quy định tại Khoản 1 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
5. Thời hạn của Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân là 05 năm. Hết thời hạn, doanh nghiệp có thể đăng ký gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý.
6. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 1 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động;
c) Trong 24 tháng không tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân;
d) Có sai phạm trong Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân đến mức phải thu hồi.
Điều 43. Dịch vụ xử lý dữ liệu cá nhân và Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
1. Dịch vụ xử lý dữ liệu cá nhân gồm:
a) Dịch vụ thông tin tín dụng;
b) Các dịch vụ của Bên Xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát, Bên Kiểm soát và Xử lý dữ liệu cá nhân;
c) Dịch vụ đánh giá khả tín dựa trên dữ liệu cá nhân;2. Điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân:
a) Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý có liên quan tới xử lý dữ liệu cá nhân;
b) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
3. Hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm:
a) Đơn đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân;
b) Bản sao chứng thực Giấy chứng nhận đăng ký danh nghiệp;
c) Văn bản chứng nhận đủ năng lực hoạt động về năng lực về công nghệ và pháp lý;
d) Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm các nội dung: Sự cần thiết, mục tiêu; Nội dung đề nghị phê duyệt; Lĩnh vực đề nghị phê duyệt; Ngành nghề, lĩnh vực kinh doanh; Cơ sở vật chất, thiết bị; Phương án kinh doanh; Dự kiến kinh phí hoạt động; Trách nhiệm và quyền hạn của doanh nghiệp trong xử lý dữ liệu cá nhân.
đ) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
4. Trong thời gian 30 ngày làm việc, Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, xem xét, phê duyệt Hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân. Trường hợp từ chối, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông báo bằng văn bản cho doanh nghiệp và nêu rõ lý do.
5. Thời hạn của Quyết định phê duyệt là 05 năm kể từ ngày ký ban hành. Hết thời hạn, doanh nghiệp làm hồ sơ để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Biên bản kiểm tra, xác minh đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân trước thời điểm đề nghị gia hạn không quá 06 tháng;
c) Đã được xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt trước thời điểm đề nghị gia hạn không quá 06 tháng.
5. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 1, 2 Điều này;
b) Có mức độ xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân được đánh giá là Không đạt.
Điều 44. Đánh giá tác động xử lý dữ liệu cá nhân
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Mô tả và đánh giá hiện trạng tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân;
k) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
l) Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân.
2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện thay mặt cho Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý thay mặt cho Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Mô tả và đánh giá hiện trạng tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân;
i) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
k) Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân.
3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân 01 bản chính trong thời gian 60 ngày làm việc kể từ ngày tiến hành xử lý dữ liệu cá nhân.
5. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 45. Chuyển dữ liệu cá nhân ra nước ngoài
1. Các trường hợp chuyển dữ liệu cá nhân ra nước ngoài:
a) Chia sẻ dữ liệu cá nhân với người nhận ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam;
b) Chia sẻ dữ liệu cá nhân tại một hội nghị, hội thảo, các cuộc họp, thảo luận ở nước ngoài;
c) Gửi tài liệu hoặc email chứa dữ liệu cá nhân cho người nhận ở với người nhận ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam;
d) Công bố dữ liệu cá nhân trên không gian mạng khiến người ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam nhận được;
đ) Cung cấp dữ liệu cá nhân cho tổ chức, doanh nghiệp, cá nhân khác để thục hiện hoạt động kinh doanh;
e) Cung cấp dữ liệu cá nhân thực hiện nghĩa vụ pháp lý ở nước ngoài hoặc theo pháp luật của quốc gia sở tại.
2. Bên chuyển dữ liệu ra nước ngoài là tổ chức, cá nhân thực hiện các hoạt động nêu tại Khoản 1 Điều này phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:
a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Luật này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Luật này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân 01 bản chính trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
5. Bên chuyển dữ liệu thông báo cho gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách sau khi việc chuyển dữ liệu diễn ra thành công.
6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
8. Căn cứ tình hình cụ thể, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Luật này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
9. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định yêu cầu ngừng chuyển dữ liệu ra nước ngoài của tổ chức, doanh nghiệp, cá nhân khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam.
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được cập nhật định kỳ 06 tháng một (01) lần khi có sự thay đổi.
2. Các trường hợp thay đổi cần cập nhật ngay, gồm:
a) Khi công ty giải thể, sáp nhập;
b) Khi có sự thay đổi thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Khi phát sinh ngành nghề, dịch vụ kinh doanh mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan tới dữ liệu cá nhân đã đăng ký trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
3. Việc cập nhật Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được thực hiện trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, gửi qua bưu chính hoặc trực tiếp tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 47. Biện pháp bảo vệ dữ liệu cá nhân
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
đ) Các biện pháp khác theo quy định của pháp luật.
Điều 48. Bảo vệ dữ liệu cá nhân cơ bản
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 47 Luật này.
2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Luật này.
3. Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân.
Điều 49. Bảo vệ dữ liệu cá nhân nhạy cảm
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 47 và Điều 48 Luật này.
2. Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
4. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Luật này.
5. Đánh giá tín nhiệm về bảo vệ dữ liệu cá nhân.
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có trách nhiệm giúp Bộ Công an thực quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân:
a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
b) Tuyên truyền, phổ biến, chính sách, pháp luật về bảo vệ dữ liệu cá nhân;
c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân;
d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng;
đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;
g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
3. Bộ Công an chủ trì xây dựng, quản lý, vận hành; Bộ Tài chính bảo đảm kinh phí xây dựng, quản lý và vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
Điều 51. Lực lượng bảo vệ dữ liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 52. Nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân
1. Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ bảo vệ dữ liệu cá nhân.
2. Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ dữ liệu cá nhân đạt chuẩn.
3. Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng.
4. Ghi nhận và quản lý sự tuân thủ quy định về bảo vệ dữ liệu cá nhân.
5. Xây dựng Tiêu chuẩn về bảo vệ dữ liệu cá nhân.
6. Giải quyết nguy cơ lộ, mất dữ liệu cá nhân.
7. Sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về bảo vệ dữ liệu cá nhân.
8. Xử lý dữ liệu cá nhân phục vụ công tác thống kê, khoa học.
9. Nghiên cứu thực tiễn, phát triển lý luận bảo vệ dữ liệu cá nhân.
Điều 53. Nâng cao năng lực bảo vệ dữ liệu cá nhân
1. Nhà nước khuyến khích, tạo điều kiện để cơ quan, tổ chức, cá nhân nâng cao năng lực bảo vệ dữ liệu cá nhân và sử dụng dữ liệu cá nhân đúng pháp luật vào mục đích phát triển kinh tế, xã hội.
2. Chính phủ thực hiện các biện pháp sau đây để nâng cao năng lực bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân:
a) Thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
b) Thúc đẩy ứng dụng công nghệ mới, công nghệ tiên tiến liên quan đến bảo vệ dữ liệu cá nhân;
c) Tổ chức đào tạo, phát triển và sử dụng nhân lực bảo vệ dữ liệu cá nhân;
d) Tăng cường môi trường kinh doanh, cải thiện điều kiện cạnh tranh hỗ trợ doanh nghiệp nghiên cứu, sản xuất sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
đ) Ban hành cơ chế, chính sách đúng quy định pháp luật nhằm sử dụng dữ liệu cá nhân phục vụ mục đích phát triển kinh tế, xã hội.
Điều 54. Giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân
2. Bộ, ngành, cơ quan, tổ chức có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức về bảo vệ dữ liệu cá nhân cho cán bộ, công chức, viên chức, người lao động trong Bộ, ngành, cơ quan, tổ chức.
3. Ủy ban nhân dân cấp tỉnh có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức, nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân của địa phương.
4. Mỗi người dân đều cần trang bị kiến thức, nhận thức, kỹ năng bảo vệ dữ liệu cá nhân.
5. Nội dung giáo dục, bồi dưỡng kiến thức bảo vệ dữ liệu cá nhân được đưa vào chương trình đào tạo trong nhà trường, từ bậc tiểu học cho tới đào tạo đại học.
6. Bộ Công an chủ trì, phối hợp với Bộ Giáo dục và Đào tạo, các Bộ, ngành có liên quan tổ chức bồi dưỡng nghiệp vụ bảo vệ dữ liệu cá nhân cho lực lượng bảo vệ an ninh mạng và công chức, viên chức, người lao động, học sinh, sinh viên.
Điều 55. Kiểm tra công tác bảo vệ dữ liệu cá nhân
1. Kiểm tra công tác bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, định kỳ, đột xuất, trong trường hợp sau đây:
a) Khi có hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
b) Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.
2. Đối tượng bảo vệ dữ liệu cá nhân bao gồm:
a) Cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân;
b) Tổ chức, cá nhân kinh doanh hoạt động xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân phải thực hiện hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
d) Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
3. Nội dung kiểm tra công tác bảo vệ dữ liệu cá nhân:
a) Hiện trạng tuân thủ công tác bảo vệ dữ liệu cá nhân;
b) Hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
c) Hoạt động chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định kiểm tra và thông báo trước cho đối tượng kiểm tra quy định tại khoản 2 Điều này trước 15 ngày làm việc về thời gian, nội dung và thành phần đoàn kiểm tra.
5. Đối tượng được kiểm tra phải chuẩn bị đầy đủ các nội dung kiểm tra theo quy định của pháp luật.
6. Kết quả kiểm tra được bảo mật theo quy định của pháp luật.
Điều 56. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Kinh phí thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.
2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 57. Trách nhiệm của Bộ Công an
1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
3. Quản lý Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
4. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Luật này.
5. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra, điều tra, giải quyết khiếu nại về bảo vệ dữ liệu cá nhân, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Điều 58. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Lưu trữ và ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân bằng văn bản hoặc hình thức điện tử.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 34 Luật này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Luật này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 59. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Luật này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 60. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Điều 61. Trách nhiệm của Bên thứ Ba
Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Luật này.
Điều 62. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Luật này.
2. Đề xuất ban hành Danh mục dữ liệu mở quốc gia phù hợp với quy định bảo vệ dữ liệu cá nhân.
3. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao.
4. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Điều 63. Trách nhiệm của Bộ Quốc phòng
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
Điều 64. Trách nhiệm của Bộ Khoa học và Công nghệ
1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân.
2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
Điều 65. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Luật này.
3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
Điều 66. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Luật này.
3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
Điều 67. Trách nhiệm của tổ chức, cá nhân có liên quan
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Luật này.
3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
Chương VII
ĐIỀU KHOẢN THI HÀNH
Điều 68. Hiệu lực thi hành
1. Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.
2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.
3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
Luật này được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ thông qua ngày tháng năm 2025.
| CHỦ TỊCH QUỐC HỘI |
DỰ THẢO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
Điều 2. Giải thích từ ngữ
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Điều 5. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân
Điều 6. Áp dụng Luật bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
Điều 8. Hành vi bị nghiêm cấm
Chương II
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ liệu
Điều 10. Nghĩa vụ của chủ thể dữ liệu
CHƯƠNG III
BẢO VỆ DỮ LIỆU CÁ NHÂN
TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ thể dữ liệu
Điều 12. Rút lại sự đồng ý
Điều 13. Thông báo xử lý dữ liệu cá nhân
Điều 14. Cung cấp dữ liệu cá nhân
Điều 15. Chỉnh sửa dữ liệu cá nhân
Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
Điều 20. Xử lý dữ liệu cá nhân của trẻ em
Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị
Điều 22. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể
Điều 23. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
Điều 24. Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo
Điều 25. Bảo vệ dữ liệu cá nhân trong điện toán đám mây
Điều 26. Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động
Điều 27. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng
Điều 28. Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm
Điều 29. Ký kết hợp đồng, thỏa thuận với chủ thể dữ liệu
Điều 30. Dữ liệu vị trí
Điều 31. Mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng
Điều 32. Dữ liệu sinh trắc học
Điều 33. Phòng, chống thu thập, chuyển giao trái phép, mua, bán dữ liệu cá nhân
Điều 34. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
CHƯƠNG IV
SỬ DỤNG DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG KINH DOANH
Điều 35. Sử dụng dữ liệu cá nhân trong hoạt động kinh doanh
Điều 36. Tổ chức bảo vệ dữ liệu cá nhân
Điều 37. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân
Điều 38. Chuyên gia bảo vệ dữ liệu cá nhân
Điều 39. Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân
Điều 40. Phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân
Điều 41. Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
Điều 42. Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
Điều 43. Dịch vụ xử lý dữ liệu cá nhân và Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Điều 44. Đánh giá tác động xử lý dữ liệu cá nhân
Điều 45. Chuyển dữ liệu cá nhân ra nước ngoài
Điều 46. Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
CHƯƠNG V
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 47. Biện pháp bảo vệ dữ liệu cá nhân
Điều 48. Bảo vệ dữ liệu cá nhân cơ bản
Điều 49. Bảo vệ dữ liệu cá nhân nhạy cảm
Điều 50. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
Điều 51. Lực lượng bảo vệ dữ liệu cá nhân
Điều 52. Nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân
Điều 53. Nâng cao năng lực bảo vệ dữ liệu cá nhân
Điều 54. Giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân
Điều 55. Kiểm tra công tác bảo vệ dữ liệu cá nhân
Điều 56. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 57. Trách nhiệm của Bộ Công an
Điều 58. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
Điều 59. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
Điều 60. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Điều 61. Trách nhiệm của Bên thứ Ba
Điều 62. Trách nhiệm của Bộ Thông tin và Truyền thông
Điều 63. Trách nhiệm của Bộ Quốc phòng
Điều 64. Trách nhiệm của Bộ Khoa học và Công nghệ
Điều 65. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ
Điều 66. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương
Điều 67. Trách nhiệm của tổ chức, cá nhân có liên quan
Chương VII
ĐIỀU KHOẢN THI HÀNH
Điều 68. Hiệu lực thi hành
- 1 Công văn 2916/BCA-A05 năm 2023 về tăng cường công tác bảo vệ dữ liệu cá nhân do Bộ Công an ban hành
- 2 Quyết định 2813/QĐ-BTC năm 2023 Quy chế bảo vệ dữ liệu cá nhân tại Bộ Tài chính
- 3 Công văn 4567/BGDĐT-CNTT năm 2024 về tăng cường công tác bảo vệ dữ liệu cá nhân và an toàn thông tin mạng do Bộ Giáo dục và Đào tạo ban hành