Để sử dụng toàn bộ tiện ích nâng cao của Hệ Thống Pháp Luật vui lòng lựa chọn và đăng ký gói cước.
| QUỐC HỘI | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| Luật số: 91/2025/QH15 | Hà Nội, ngày 26 tháng 6 năm 2025 |
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam đã được sửa đổi, bổ sung một số điều theo Nghị quyết số 203/2025/QH15;
Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân.
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Luật này quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
2. Luật này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.
2. Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
3. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
4. Bảo vệ dữ liệu cá nhân là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
5. Chủ thể dữ liệu cá nhân là người được dữ liệu cá nhân phản ánh.
6. Xử lý dữ liệu cá nhân là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.
7. Bên kiểm soát dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
8. Bên xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng.
9. Bên kiểm soát và xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
10. Bên thứ ba là tổ chức, cá nhân ngoài chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân tham gia vào việc xử lý dữ liệu cá nhân theo quy định của pháp luật.
11. Khử nhận dạng dữ liệu cá nhân là quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể.
12. Đánh giá tác động xử lý dữ liệu cá nhân là việc phân tích, đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân để áp dụng các biện pháp giảm thiểu rủi ro, bảo vệ dữ liệu cá nhân.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan.
2. Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
3. Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
4. Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
5. Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
6. Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
Điều 4. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
1. Quyền của chủ thể dữ liệu cá nhân bao gồm:
a) Được biết về hoạt động xử lý dữ liệu cá nhân;
b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
2. Nghĩa vụ của chủ thể dữ liệu cá nhân bao gồm:
a) Tự bảo vệ dữ liệu cá nhân của mình;
b) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;
c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;
d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
3. Chủ thể dữ liệu cá nhân khi thực hiện quyền và nghĩa vụ của mình phải tuân thủ đầy đủ các nguyên tắc sau đây:
a) Thực hiện theo quy định của pháp luật; tuân thủ nghĩa vụ của chủ thể dữ liệu cá nhân theo hợp đồng. Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó;
b) Không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân;
c) Không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.
4. Cơ quan, tổ chức, cá nhân có trách nhiệm tạo điều kiện thuận lợi, không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo quy định của pháp luật.
5. Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân để thực hiện quyền của chủ thể dữ liệu cá nhân quy định tại khoản 1 Điều này, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải kịp thời thực hiện trong thời hạn theo quy định của pháp luật.
Chính phủ quy định chi tiết khoản này.
Điều 5. Áp dụng pháp luật về bảo vệ dữ liệu cá nhân
1. Hoạt động bảo vệ dữ liệu cá nhân trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan.
2. Trường hợp luật, nghị quyết của Quốc hội ban hành trước ngày Luật này có hiệu lực thi hành có quy định cụ thể về bảo vệ dữ liệu cá nhân mà không trái với nguyên tắc bảo vệ dữ liệu cá nhân theo quy định của Luật này thì áp dụng quy định của luật, nghị quyết đó.
3. Trường hợp luật, nghị quyết của Quốc hội ban hành sau ngày Luật này có hiệu lực thi hành có quy định về bảo vệ dữ liệu cá nhân khác với quy định của Luật này thì phải quy định cụ thể nội dung thực hiện hoặc không thực hiện theo quy định của Luật này, nội dung thực hiện theo quy định của luật, nghị quyết đó.
4. Trường hợp cơ quan, tổ chức, cá nhân thực hiện việc đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Luật này thì không phải thực hiện đánh giá rủi ro xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của pháp luật về dữ liệu.
Điều 6. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
1. Tuân thủ pháp luật Việt Nam, điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên và thỏa thuận quốc tế về bảo vệ dữ liệu cá nhân trên cơ sở bình đẳng, cùng có lợi, tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ.
2. Nội dung hợp tác quốc tế về bảo vệ dữ liệu cá nhân bao gồm:
a) Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân;
b) Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của quốc gia khác;
c) Phòng ngừa, đấu tranh với các hành vi xâm phạm dữ liệu cá nhân;
d) Đào tạo nguồn nhân lực, nghiên cứu khoa học, ứng dụng khoa học và công nghệ trong bảo vệ dữ liệu cá nhân;
đ) Trao đổi kinh nghiệm xây dựng và thực hiện pháp luật về bảo vệ dữ liệu cá nhân;
e) Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
3. Chính phủ quy định trách nhiệm thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.
3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Điều 8. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
1. Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
2. Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và pháp luật về xử lý vi phạm hành chính.
3. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
4. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
5. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
6. Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
7. Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Mục 1. BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 9. Sự đồng ý của chủ thể dữ liệu cá nhân
1. Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:
a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;
b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;
c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
3. Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây:
a) Thể hiện sự đồng ý đối với từng mục đích;
b) Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;
c) Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;
d) Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
5. Chính phủ quy định chi tiết khoản 3 Điều này.
Điều 10. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân
1. Chủ thể dữ liệu cá nhân có quyền yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi có nghi ngờ phạm vi, mục đích xử lý dữ liệu cá nhân hoặc tính chính xác của dữ liệu cá nhân, trừ trường hợp quy định tại Điều 19 của Luật này hoặc trường hợp pháp luật có quy định khác.
2. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được và được gửi cho bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân được thực hiện theo quy định của pháp luật và theo thỏa thuận giữa các bên.
3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân tiếp nhận, thực hiện và yêu cầu bên xử lý dữ liệu cá nhân thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong thời gian theo quy định của pháp luật.
4. Việc thực hiện yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân không áp dụng đối với hoạt động xử lý dữ liệu cá nhân trước thời điểm chủ thể dữ liệu cá nhân yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân.
Điều 11. Thu thập, phân tích, tổng hợp dữ liệu cá nhân
1. Dữ liệu cá nhân được thu thập phải được sự đồng ý của chủ thể dữ liệu cá nhân trước khi thu thập, trừ trường hợp pháp luật có quy định khác.
2. Cơ quan Đảng, Nhà nước có thẩm quyền được phân tích, tổng hợp dữ liệu cá nhân từ nguồn dữ liệu tự thu thập hoặc được chia sẻ, cung cấp, chuyển giao, khai thác, sử dụng để phục vụ công tác lãnh đạo, chỉ đạo, quản lý nhà nước, phát triển kinh tế - xã hội theo quy định của pháp luật.
3. Cơ quan, tổ chức, cá nhân không thuộc quy định tại khoản 2 Điều này được phân tích, tổng hợp dữ liệu cá nhân từ nguồn dữ liệu cá nhân được phép xử lý theo quy định của pháp luật.
Điều 12. Mã hóa, giải mã dữ liệu cá nhân
1. Mã hóa dữ liệu cá nhân là việc chuyển đổi dữ liệu cá nhân sang dạng không nhận biết được dữ liệu cá nhân nếu không được giải mã; dữ liệu cá nhân sau khi được mã hóa vẫn là dữ liệu cá nhân.
2. Dữ liệu cá nhân là bí mật nhà nước phải được mã hóa, giải mã theo quy định của pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu.
3. Cơ quan, tổ chức, cá nhân quyết định việc mã hóa, giải mã dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân.
Điều 13. Chỉnh sửa dữ liệu cá nhân
1. Chủ thể dữ liệu cá nhân được tự mình chỉnh sửa dữ liệu cá nhân của mình đối với một số loại dữ liệu cá nhân theo thỏa thuận với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân; đề nghị bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân sau khi chủ thể dữ liệu cá nhân yêu cầu hoặc chỉnh sửa dữ liệu cá nhân theo quy định của pháp luật; yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân.
3. Việc chỉnh sửa dữ liệu cá nhân phải bảo đảm tính chính xác. Trường hợp không thể chỉnh sửa dữ liệu cá nhân vì lý do chính đáng, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để cơ quan, tổ chức, cá nhân yêu cầu biết.
Điều 14. Xóa, hủy, khử nhận dạng dữ liệu cá nhân
1. Việc xóa, hủy dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:
a) Chủ thể dữ liệu cá nhân có yêu cầu và chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình. Yêu cầu của chủ thể dữ liệu cá nhân trong trường hợp này phải tuân thủ đầy đủ các nguyên tắc quy định tại khoản 3 Điều 4 của Luật này;
b) Đã hoàn thành mục đích xử lý dữ liệu cá nhân;
c) Hết thời hạn lưu trữ theo quy định của pháp luật;
d) Thực hiện theo quyết định của cơ quan nhà nước có thẩm quyền;
đ) Thực hiện theo thỏa thuận;
e) Trường hợp khác theo quy định của pháp luật.
2. Không thực hiện yêu cầu của chủ thể dữ liệu cá nhân về việc xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại Điều 19 của Luật này hoặc việc xóa, hủy dữ liệu cá nhân vi phạm quy định tại khoản 3 Điều 4 của Luật này.
3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều này hoặc yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba xóa, hủy dữ liệu cá nhân của chủ thể dữ liệu cá nhân. Việc xóa, hủy dữ liệu cá nhân phải được thực hiện bằng các biện pháp an toàn; ngăn chặn hoạt động xâm nhập và khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.
4. Cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.
5. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân có trách nhiệm tuân thủ quy định của Luật này. Trường hợp không thể xóa, hủy dữ liệu cá nhân vì lý do chính đáng sau khi nhận được yêu cầu của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để chủ thể dữ liệu cá nhân biết.
6. Việc khử nhận dạng dữ liệu cá nhân được quy định như sau:
a) Cơ quan, tổ chức, cá nhân khử nhận dạng dữ liệu cá nhân có trách nhiệm kiểm soát và giám sát chặt chẽ quá trình khử nhận dạng dữ liệu cá nhân; ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng;
b) Không được tái nhận dạng dữ liệu cá nhân sau khi đã được khử nhận dạng, trừ trường hợp pháp luật có quy định khác;
c) Việc khử nhận dạng dữ liệu cá nhân tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan.
Điều 15. Cung cấp dữ liệu cá nhân
1. Chủ thể dữ liệu cá nhân cung cấp dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân theo quy định của pháp luật hoặc theo thỏa thuận với cơ quan, tổ chức, cá nhân đó.
2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân cung cấp dữ liệu cá nhân trong các trường hợp sau đây:
a) Cung cấp cho chủ thể dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu cá nhân phù hợp quy định của pháp luật, thỏa thuận với chủ thể dữ liệu, trừ trường hợp việc cung cấp đó có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, tài sản của người khác;
b) Cung cấp cho cơ quan, tổ chức, cá nhân khác khi được chủ thể dữ liệu cá nhân đồng ý, trừ trường hợp pháp luật có quy định khác.
Điều 16. Công khai dữ liệu cá nhân
1. Dữ liệu cá nhân chỉ được công khai với mục đích cụ thể. Phạm vi công khai, loại dữ liệu cá nhân được công khai phải phù hợp với mục đích công khai. Việc công khai dữ liệu cá nhân không được xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
2. Dữ liệu cá nhân chỉ được công khai trong các trường hợp sau đây:
a) Khi có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Thực hiện theo quy định của pháp luật;
c) Trường hợp quy định tại điểm b khoản 1 Điều 19 của Luật này;
d) Thực hiện nghĩa vụ theo hợp đồng.
3. Dữ liệu cá nhân công khai phải bảo đảm phản ánh đúng dữ liệu cá nhân từ nguồn dữ liệu gốc và tạo thuận lợi cho cơ quan, tổ chức, cá nhân trong việc tiếp cận, khai thác, sử dụng.
4. Hình thức công khai dữ liệu cá nhân, bao gồm: đăng tải dữ liệu trên trang thông tin điện tử, cổng thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.
5. Cơ quan, tổ chức, cá nhân công khai dữ liệu cá nhân phải kiểm soát và giám sát chặt chẽ việc công khai dữ liệu cá nhân để bảo đảm tuân thủ đúng mục đích, phạm vi và quy định của pháp luật; ngăn chặn việc truy cập, sử dụng, tiết lộ, sao chép, sửa đổi, xóa, hủy hoặc các hành vi xử lý trái phép khác đối với dữ liệu cá nhân đã công khai trong khả năng, điều kiện của mình.
Điều 17. Chuyển giao dữ liệu cá nhân
1. Việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:
a) Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập;
c) Chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác;
d) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định;
đ) Chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;
e) Chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều 19 của Luật này.
2. Việc chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều này có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.
3. Chính phủ quy định chi tiết Điều này.
Điều 18. Các hoạt động khác trong xử lý dữ liệu cá nhân
1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân trong quá trình lưu trữ theo quy định của pháp luật.
2. Việc lưu trữ, truy cập, truy xuất, kết nối, điều phối, xác nhận, xác thực dữ liệu cá nhân, hoạt động khác tác động đến dữ liệu cá nhân thực hiện theo quy định của Luật này, pháp luật về dữ liệu, các quy định khác của pháp luật có liên quan và theo thỏa thuận giữa các bên.
3. Ưu tiên khai thác, sử dụng dữ liệu cá nhân vào hoạt động phục vụ quản lý nhà nước, hoạt động của các đơn vị sự nghiệp công lập để phục vụ thí điểm một số cơ chế, chính sách đặc biệt tạo đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia.
Điều 19. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân
1. Các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân bao gồm:
a) Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này;
b) Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
c) Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật;
d) Thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật;
đ) Trường hợp khác theo quy định của pháp luật.
2. Cơ quan, tổ chức, cá nhân có liên quan phải thiết lập cơ chế giám sát khi xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân bao gồm:
a) Thiết lập quy trình, quy định xử lý dữ liệu cá nhân và xác định trách nhiệm của cơ quan, tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân;
b) Triển khai các biện pháp bảo vệ dữ liệu cá nhân phù hợp; thường xuyên đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân;
c) Thực hiện kiểm tra, đánh giá định kỳ việc tuân thủ quy định của pháp luật, quy trình, quy định xử lý dữ liệu cá nhân;
d) Có cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan.
Điều 20. Chuyển dữ liệu cá nhân xuyên biên giới
1. Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới bao gồm:
a) Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam;
b) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài;
c) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.
2. Cơ quan, tổ chức, cá nhân chuyển dữ liệu cá nhân xuyên biên giới thực hiện các hoạt động quy định tại khoản 1 Điều này phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới, trừ trường hợp quy định tại khoản 6 Điều này.
3. Đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện 01 lần cho suốt thời gian hoạt động của cơ quan, tổ chức, cá nhân đó và được cập nhật theo quy định tại Điều 22 của Luật này.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc kiểm tra chuyển dữ liệu cá nhân xuyên biên giới định kỳ không quá 01 lần trong năm hoặc kiểm tra đột xuất khi phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân hoặc khi xảy ra sự cố lộ, mất dữ liệu cá nhân.
5. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định yêu cầu ngừng chuyển dữ liệu cá nhân xuyên biên giới của cơ quan, tổ chức, cá nhân khi phát hiện dữ liệu cá nhân được chuyển để sử dụng vào hoạt động có thể gây tổn hại đến quốc phòng, an ninh quốc gia.
6. Các trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:
a) Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền;
b) Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây;
c) Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới;
d) Các trường hợp khác theo quy định của Chính phủ.
7. Chính phủ quy định chi tiết các khoản 1, 5 và 6 Điều này; quy định thành phần hồ sơ, điều kiện, trình tự, thủ tục đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.
Điều 21. Đánh giá tác động xử lý dữ liệu cá nhân
1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân, trừ trường hợp quy định tại khoản 6 Điều này.
2. Đánh giá tác động xử lý dữ liệu cá nhân được thực hiện 01 lần cho suốt thời gian hoạt động của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân và được cập nhật theo quy định tại Điều 22 của Luật này.
3. Bên xử lý dữ liệu cá nhân lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo thỏa thuận với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, trừ trường hợp quy định tại khoản 6 Điều này.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
5. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân cập nhật, bổ sung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
6. Cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân quy định tại Điều này.
7. Chính phủ quy định thành phần hồ sơ, điều kiện, trình tự, thủ tục đánh giá tác động xử lý dữ liệu cá nhân.
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được cập nhật định kỳ 06 tháng khi có sự thay đổi hoặc cập nhật ngay trong các trường hợp quy định tại khoản 2 Điều này.
2. Các trường hợp thay đổi cần cập nhật ngay bao gồm:
a) Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
b) Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
c) Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.
3. Việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tại cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
4. Chính phủ quy định chi tiết Điều này.
Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba phát hiện vi phạm quy định về bảo vệ dữ liệu cá nhân có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu cá nhân thì phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm. Trường hợp bên xử lý dữ liệu cá nhân phát hiện hành vi vi phạm phải thông báo kịp thời cho bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân.
2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải lập biên bản xác nhận về việc xảy ra hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, phối hợp với cơ quan chuyên trách bảo vệ dữ liệu cá nhân xử lý hành vi vi phạm.
3. Cơ quan, tổ chức, cá nhân thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong các trường hợp sau đây:
a) Phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận giữa chủ thể dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
c) Không bảo đảm quyền hoặc thực hiện không đúng quyền của chủ thể dữ liệu cá nhân;
d) Trường hợp khác theo quy định của pháp luật.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có trách nhiệm tiếp nhận thông báo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba và cơ quan, tổ chức, cá nhân có liên quan có trách nhiệm ngăn chặn hành vi vi phạm, khắc phục hậu quả xảy ra và phối hợp cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
5. Chính phủ quy định nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.
Mục 2. BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG MỘT SỐ HOẠT ĐỘNG
1. Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi thực hiện theo quy định của Luật này.
2. Đối với trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự hoặc người có khó khăn trong nhận thức, làm chủ hành vi thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân, trừ các trường hợp quy định tại khoản 1 Điều 19 của Luật này. Việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 07 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật.
3. Ngừng xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi trong trường hợp sau đây:
a) Người đã đồng ý quy định tại khoản 2 Điều này rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác;
b) Theo yêu cầu của cơ quan có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân có thể xâm phạm đến quyền, lợi ích hợp pháp của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác.
Điều 25. Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động
1. Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong tuyển dụng lao động được quy định như sau:
a) Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng của cơ quan, tổ chức, cá nhân tuyển dụng phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật;
b) Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển;
c) Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;
2. Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động được quy định như sau:
a) Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;
b) Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;
c) Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
3. Việc xử lý dữ liệu cá nhân của người lao động được thu thập bằng biện pháp công nghệ, kỹ thuật trong quản lý người lao động được quy định như sau:
a) Chỉ được áp dụng các biện pháp công nghệ, kỹ thuật phù hợp với quy định của pháp luật và bảo đảm quyền, lợi ích của chủ thể dữ liệu cá nhân, trên cơ sở người lao động biết rõ biện pháp đó;
b) Không được xử lý, sử dụng dữ liệu cá nhân thu thập từ các biện pháp công nghệ, kỹ thuật trái quy định của pháp luật.
Điều 26. Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm
1. Việc bảo vệ dữ liệu cá nhân đối với các thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm được quy định như sau:
a) Phải có sự đồng ý của chủ thể dữ liệu cá nhân trong quá trình thu thập, xử lý dữ liệu cá nhân, trừ trường hợp quy định tại khoản 1 Điều 19 của Luật này;
b) Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân, quy định khác của pháp luật có liên quan.
2. Cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, bảo hiểm nhân thọ, trừ trường hợp có yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân hoặc trường hợp quy định tại khoản 1 Điều 19 của Luật này.
3. Tổ chức, cá nhân phát triển ứng dụng về y tế, ứng dụng về kinh doanh bảo hiểm phải tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân.
4. Trường hợp doanh nghiệp kinh doanh tái bảo hiểm, nhượng tái bảo hiểm và có chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng.
Điều 27. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng
1. Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm sau đây:
a) Thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động tài chính, ngân hàng theo quy định của pháp luật;
b) Không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân;
c) Chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của Luật này và các quy định khác của pháp luật có liên quan;
d) Thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.
2. Tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng có trách nhiệm tuân thủ quy định của Luật này; áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng phục vụ đánh giá thông tin tín dụng.
3. Chính phủ quy định chi tiết Điều này.
Điều 28. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo
1. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao theo thỏa thuận hoặc thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ quảng cáo. Việc thu thập, sử dụng, chuyển giao dữ liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu cá nhân quy định tại Điều 4 của Luật này.
2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉ được chuyển dữ liệu cá nhân cho tổ chức, cá nhân kinh doanh dịch vụ quảng cáo theo quy định của pháp luật.
3. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; cung cấp phương thức cho khách hàng để có thể từ chối nhận các thông tin quảng cáo.
4. Việc sử dụng dữ liệu cá nhân để quảng cáo phải phù hợp với quy định của pháp luật về phòng, chống tin nhắn rác, thư điện tử rác, cuộc gọi rác và quy định của pháp luật về quảng cáo.
5. Chủ thể dữ liệu cá nhân có quyền yêu cầu ngừng nhận thông tin từ dịch vụ quảng cáo. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo phải cung cấp cơ chế và ngừng quảng cáo theo yêu cầu của chủ thể dữ liệu cá nhân.
6. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để tổ chức, cá nhân khác thay mặt mình thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân.
7. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng để quảng cáo; tuân thủ quy định tại các khoản 1, 2, 3, 4 Điều này và quy định của pháp luật về quảng cáo.
8. Tổ chức, cá nhân khi sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể hoặc cá nhân hóa quảng cáo phải tuân thủ quy định tại Điều này và các quy định sau đây:
a) Chỉ được thu thập dữ liệu cá nhân thông qua việc theo dõi trang thông tin điện tử, cổng thông tin điện tử, ứng dụng khi có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Phải thiết lập phương thức cho phép chủ thể dữ liệu cá nhân từ chối chia sẻ dữ liệu; xác định thời gian lưu trữ; xóa, hủy dữ liệu khi không còn cần thiết.
Điều 29. Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến
Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm sau đây:
1. Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
2. Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
3. Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
4. Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
5. Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
6. Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
1. Dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
2. Việc xử lý dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan; phù hợp với chuẩn mực đạo đức, thuần phong mỹ tục của Việt Nam.
3. Hệ thống và dịch vụ sử dụng dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp; phải sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý dữ liệu cá nhân.
4. Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp.
5. Không sử dụng, phát triển hệ thống xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây có sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác.
6. Chính phủ quy định chi tiết Điều này.
Điều 31. Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học
1. Dữ liệu vị trí cá nhân là dữ liệu được xác định thông qua công nghệ định vị để biết vị trí và giúp xác định con người cụ thể.
2. Dữ liệu sinh trắc học là dữ liệu về thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để xác định người đó.
3. Việc bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân được quy định như sau:
a) Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác, trừ trường hợp có sự đồng ý của chủ thể dữ liệu cá nhân hoặc trường hợp có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật hoặc trường hợp pháp luật có quy định khác;
b) Tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân; có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan; cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân.
4. Việc bảo vệ dữ liệu sinh trắc học quy định như sau:
a) Cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình; hạn chế quyền truy cập vào dữ liệu sinh trắc học; có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học; tuân thủ quy định của pháp luật và tiêu chuẩn quốc tế có liên quan;
b) Trường hợp xử lý dữ liệu sinh trắc học gây thiệt hại cho chủ thể dữ liệu cá nhân thì tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thông báo cho chủ thể dữ liệu cá nhân đó theo quy định của Chính phủ.
1. Cơ quan, tổ chức, cá nhân được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng mà không cần có sự đồng ý của chủ thể dữ liệu cá nhân trong các trường hợp sau đây:
a) Để thực hiện nhiệm vụ quốc phòng, bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội, bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
b) Âm thanh, hình ảnh, các thông tin nhận dạng khác thu được từ các hoạt động công cộng bao gồm hội nghị, hội thảo, hoạt động thi đấu thể thao, biểu diễn nghệ thuật và hoạt động công cộng khác mà không làm tổn hại đến danh dự, nhân phẩm, uy tín của chủ thể dữ liệu cá nhân;
c) Trường hợp khác theo quy định của pháp luật.
2. Trường hợp ghi âm, ghi hình theo quy định tại khoản 1 Điều này, cơ quan, tổ chức, cá nhân có trách nhiệm thông báo hoặc bằng hình thức thông tin khác để chủ thể dữ liệu cá nhân biết được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
3. Dữ liệu cá nhân thu được chỉ được xử lý, sử dụng phù hợp với mục đích xử lý, không được sử dụng vào các mục đích trái pháp luật hoặc xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
4. Dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng chỉ được lưu trữ trong khoảng thời gian cần thiết để phục vụ mục đích thu thập, trừ trường hợp pháp luật có quy định khác. Khi hết thời hạn lưu trữ, dữ liệu cá nhân phải được xóa, hủy theo quy định của Luật này.
5. Cơ quan, tổ chức, cá nhân thực hiện ghi âm, ghi hình, xử lý dữ liệu cá nhân thu được từ ghi âm, ghi hình trong các trường hợp quy định tại khoản 1 Điều này có trách nhiệm bảo vệ dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan.
LỰC LƯỢNG, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 33. Lực lượng bảo vệ dữ liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân bao gồm:
a) Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an;
b) Bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức;
c) Tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
d) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
3. Chính phủ quy định về điều kiện, nhiệm vụ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; dịch vụ xử lý dữ liệu cá nhân.
Điều 34. Tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân
1. Tiêu chuẩn về bảo vệ dữ liệu cá nhân gồm tiêu chuẩn đối với hệ thống thông tin, phần cứng, phần mềm, quản lý, vận hành, xử lý, bảo vệ dữ liệu cá nhân được công bố, thừa nhận áp dụng tại Việt Nam.
2. Quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân gồm quy chuẩn kỹ thuật đối với hệ thống thông tin, phần cứng, phần mềm, quản lý, vận hành, xử lý, bảo vệ dữ liệu cá nhân được xây dựng, ban hành và áp dụng tại Việt Nam.
3. Việc ban hành tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân thực hiện theo quy định của pháp luật về tiêu chuẩn và quy chuẩn kỹ thuật.
Điều 35. Kiểm tra hoạt động bảo vệ dữ liệu cá nhân
Việc kiểm tra hoạt động bảo vệ dữ liệu cá nhân được thực hiện theo quy định của Luật này và theo quy định của Chính phủ.
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 36. Trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân
1. Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, trừ nội dung thuộc phạm vi quản lý của Bộ Quốc phòng.
3. Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý.
4. Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao.
5. Ủy ban nhân dân cấp tỉnh thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.
1. Trách nhiệm của bên kiểm soát dữ liệu cá nhân như sau:
a) Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan;
b) Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung theo quy định của Luật này;
c) Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân theo quy định của pháp luật, rà soát và cập nhật các biện pháp này khi cần thiết;
d) Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 của Luật này;
đ) Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân;
e) Bảo đảm các quyền của chủ thể dữ liệu cá nhân theo quy định tại Điều 4 của Luật này;
g) Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
h) Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;
i) Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
k) Thực hiện các trách nhiệm khác theo quy định của Luật này và quy định khác của pháp luật có liên quan.
2. Trách nhiệm của bên xử lý dữ liệu cá nhân như sau:
a) Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
b) Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
c) Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này và các quy định khác của pháp luật có liên quan;
d) Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
đ) Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;
e) Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
g) Thực hiện các trách nhiệm khác theo quy định của Luật này và quy định khác của pháp luật có liên quan.
3. Bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thực hiện đầy đủ các quy định tại khoản 1 và khoản 2 Điều này.
1. Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.
2. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 của Luật này trong thời gian 05 năm kể từ ngày Luật này có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.
3. Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 của Luật này, trừ hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.
4. Chính phủ quy định chi tiết khoản 2 và khoản 3 Điều này.
1. Hoạt động xử lý dữ liệu cá nhân đang thực hiện mà đã được chủ thể dữ liệu cá nhân đồng ý hoặc theo thỏa thuận theo quy định của Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ trước ngày Luật này có hiệu lực thi hành thì tiếp tục thực hiện, không phải xin đồng ý lại hoặc thỏa thuận lại.
2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định của Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ đã được cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiếp nhận trước ngày Luật này có hiệu lực thi hành thì tiếp tục được sử dụng và không phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Luật này; việc cập nhật các hồ sơ đã lập nêu trên sau ngày Luật này có hiệu lực thi hành thì thực hiện theo quy định của Luật này.
Luật này được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ 9 thông qua ngày 26 tháng 6 năm 2025.
|
| CHỦ TỊCH QUỐC HỘI |
| QUỐC HỘI | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| Luật số: /2025/QH15 |
|
| DỰ THẢO |
|
LUẬT
BẢO VỆ DỮ LIỆU CÁ NHÂN
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân.
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Luật này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
2. Luật này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam;
đ) Cơ quan, tổ chức, cá nhân thu thập, xử lý dữ liệu cá nhân của người nước ngoài trên phạm vi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam.
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân, gồm:
a) Họ, chữ đệm và tên khai sinh, bí danh (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng.
l) Các thông tin khác gắn liền với danh tính của công dân không thuộc quy định tại 4 Điều này.
4. Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc,
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất;
k) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
l) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
5. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.
6. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
7. Bảo vệ dữ liệu cá nhân là hoạt động tuyên truyền, hướng dẫn, bảo đảm, quản lý, vận hành, phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
8. Quyền bảo vệ dữ liệu cá nhân là quyền của cá nhân được thực hiện hoặc yêu cầu các cơ quan, tổ chức, cá nhân tôn trọng, bảo vệ và thực hiện các biện pháp cụ thể để bảo vệ dữ liệu cá nhân của mình.
9. Sự đồng ý của chủ thể dữ liệu là thông tin được thể hiện rõ ràng, tự nguyện, khẳng định về việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
10. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
11. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
12. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
13. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
14. Nhà phát triển liên quan tới bảo vệ dữ liệu cá nhân là cá nhân hoặc tổ chức có liên quan đến quá trình phát triển chương trình, ứng dụng, phần mềm, hệ thống công nghệ thông tin có thu thập, xử lý, lưu trữ dữ liệu cá nhân.
15. Tổ chức bảo vệ dữ liệu cá nhân là tổ chức được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm bộ phận bảo vệ dữ liệu cá nhân,
16. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân là việc các tổ chức, doanh nghiệp có năng lực về công nghệ và pháp lý về bảo vệ dữ liệu cá nhân cung cấp dịch vụ Tổ chức bảo vệ dữ liệu cá nhân nhằm đáp ứng nhu cầu của Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam.
17. Chuyên gia bảo vệ dữ liệu cá nhân là người được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm nhân sự bảo vệ dữ liệu cá nhân, có năng lực về công nghệ và/hoặc pháp lý về bảo vệ dữ liệu cá nhân, được nêu cụ thể trong Hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
18. Kinh doanh dịch vụ Chuyên gia bảo vệ dữ liệu cá nhân là việc các tổ chức, doanh nghiệp, cá nhân có năng lực về công nghệ và pháp lý về bảo vệ dữ liệu cá nhân cung cấp dịch vụ Chuyên gia bảo vệ dữ liệu cá nhân nhằm đáp ứng nhu cầu của Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam.
19. Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chứng nhận, ủy quyền và có khả năng thẩm định, kiểm tra, xác nhận, cấp Giấy chứng nhận đủ điều kiện cho Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân.
20. Xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân là việc đánh giá mức độ uy tín của tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân.
21. Tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chứng nhận, ủy quyền và có khả năng thẩm định, kiểm tra, xác nhận, xếp hạng mức độ tín nhiệm về bảo vệ dữ liệu cá nhân.
22. Dịch vụ xử lý dữ liệu cá nhân là ngành, nghề kinh doanh có điều kiện cung cấp các giải pháp xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân.
23. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
24. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân.
25. Khử nhận dạng dữ liệu cá nhân là quá trình ẩn danh hoặc xóa các nội dung định danh hoặc thay thế chúng bằng tên hoặc mã giả tưởng khác để tạo ra dữ liệu mới không thể xác định một cá nhân cụ thể.
26. Sử dụng dữ liệu cá nhân để tiếp thị là hoạt động liên quan tới việc gọi điện, gửi email, tin nhắn, thư hoặc truyền tải các thông tin tiếp thị khác tới người tiêu dùng thông qua dữ liệu cá nhân của khách hàng đã thu thập trước đó.
27. Sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể là hoạt động sử dụng dữ liệu cá nhân của khách hàng hoặc dữ liệu hành vi của khách hàng để quảng cáo theo mục tiêu được xác định.
28. Vi phạm quy định về bảo vệ dữ liệu cá nhân là các hoạt động vi phạm, không thực hiện, thực hiện không đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân khác.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức.
2. Dữ liệu cá nhân được xử lý công khai, minh bạch. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Công ty mẹ, công ty con và mỗi công ty trong thành viên tập đoàn kinh tế, tổng công ty có trách nhiệm bảo vệ dữ liệu cá nhân độc lập theo quy định của pháp luật. Sự đồng ý của chủ thể dữ liệu đối với một công ty không đồng nghĩa với việc đồng ý cho toàn bộ các công ty trong thành viên tập đoàn kinh tế, tổng công ty xử lý dữ liệu cá nhân.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 8 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Điều 5. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân
1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.
3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng và vận động xã hội bảo vệ dữ liệu cá nhân.
5. Xây dựng, đào tạo, bồi dưỡng đội ngũ cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Thống kê tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.
8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Điều 6. Áp dụng Luật bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
1. Luật khác có quy định về bảo vệ dữ liệu cá nhân thì không được trái với quy định tại Luật này. Trường hợp luật khác không quy định hoặc có quy định về bảo vệ dữ liệu cá nhân mà khác với quy định của Luật này thì áp dụng theo quy định của Luật này.
2. Việc bảo vệ dữ liệu cá nhân được thực hiện theo các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.
Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân.
3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân.
4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
6. Thu thập, xử lý, chuyển giao dữ liệu cá nhân trái phép và mua bán dữ liệu cá nhân.
7. Chuyển giao dữ liệu cá nhân cho các tổ chức, cá nhân không phù hợp với mục đích xử lý dữ liệu.
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ liệu
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được thu thập, trừ trường hợp luật có quy định khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
6. Quyền hạn chế xử lý dữ liệu
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi nghi ngờ tính chính xác của dữ liệu hoặc dữ liệu không thể hạn chế xử lý dữ liệu do quy định của luật;
b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
8. Quyền phản đối xử lý dữ liệu
a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị;
b) Phản đối của chủ thể dữ liệu vô hiệu khi luật đã có quy định khác;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
9. Quyền khiếu nại, tố cáo
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan.
10. Quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
11. Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan, theo quy định tại Luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
Điều 10. Nghĩa vụ của chủ thể dữ liệu
1. Có trách nhiệm tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
5. Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực nếu dựa trên sự tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Không được kèm theo điều kiện bắt buộc phải đồng ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không đúng mục đích thu thập. Chủ thể dữ liệu có quyền từ chối điều kiện này.
4. Sự đồng ý của chủ thể dữ liệu phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng, cụ thể, như: bằng văn bản, bằng giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
5. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
6. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
7. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
8. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
9. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
10. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
11. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
12. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
Điều 13. Thông báo xử lý dữ liệu cá nhân
1. Việc thông báo được thực hiện một (01) lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Luật này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
Điều 14. Cung cấp dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân:
a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, tổ chức, cá nhân mà chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền trong trường hợp:
a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;
c) Chủ thể dữ liệu không đồng ý cho tổ chức, cá nhân mà chủ thể dữ liệu đồng ý cho phép đại và diện ủy quyền được nhận dữ liệu cá nhân của mình.
5. Hình thức yêu cầu cung cấp dữ liệu cá nhân
a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân.
Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân;
b) Gửi Phiếu yêu cầu qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có);
b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
c) Hình thức cung cấp dữ liệu cá nhân;
d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân.
7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.
8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân
a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu.
b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc trách nhiệm cung cấp thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có trách nhiệm cung cấp dữ liệu cá nhân hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân.
9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân
Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
Điều 15. Chỉnh sửa dữ liệu cá nhân
1. Chủ thể dữ liệu:
a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác.
b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:
a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
b) Rút lại sự đồng ý;
c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:
a) Pháp luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
d) Dữ liệu cá nhân được xử lý phục vụ mục đích phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục hoặc hủy dữ liệu cá nhân trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
1. Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong tình huống khẩn cấp. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Việc công khai dữ liệu cá nhân theo quy định của luật.
3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
1. Cơ quan, tổ chức được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
2. Trường hợp ghi âm, ghi hình theo quy định tại khoản 1 Điều này, cơ quan, tổ chức có trách nhiệm thông báo để người khác hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
Điều 19. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Luật này.
2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
Điều 20. Xử lý dữ liệu cá nhân của trẻ em
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
2. Trước khi xử lý dữ liệu cá nhân của trẻ em, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em và được sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định.
3. Không xử lý dữ liệu cá nhân của trẻ em mà không được sự đồng ý của trẻ em từ đủ 7 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em, trừ trường hợp quy định tại Điều 17 Nghị định này.
4. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác.
b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác.
c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị
1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị. Việc thu thập, sử dụng dữ liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu quy định tại Điều 9 Luật này.
2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
3. Việc sử dụng dữ liệu cá nhân để tiếp thị phải phù hợp với quy định của pháp luật về phòng chống thư rác, sim rác.
4. Chủ thể dữ liệu có quyền yêu cầu ngừng nhận thông tin từ dịch vụ tiếp thị. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị phải ngừng ngay lập tức sau khi có yêu cầu của chủ thể dữ liệu.
5. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị không được thuê hoặc thỏa thuận để một tổ chức khác thực hiện hoặc hỗ trợ việc thực hiện việc kinh doanh tiếp thị.
6. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1, 2, 3, 4, 5 Điều này.
1. Việc thu thập dữ liệu thông qua việc theo dõi website, ứng dụng chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu.
2. Các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải thiết lập hoạt động cho phép chủ thể dữ liệu từ chối chia sẻ dữ liệu cho các bối cảnh khác nhau.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể.
4. Việc thu thập, sử dụng dữ liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu quy định tại Điều 9 Luật này.
Điều 23. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
1. Các tổ chức, cá nhân được quyền khai thác dữ liệu cá nhân trên các nền tảng mà chủ thể dữ liệu công khai thông tin cá nhân mà không có bất kỳ sự hạn chế nào.
2. Chỉ được sử dụng dữ liệu lớn thu được cho các hoạt động kinh doanh theo quy định của pháp luật.
3. Các công ty hoạt động với vai trò là Bên xử lý dữ liệu cá nhân phải được đăng ký và quản lý bởi cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 24. Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo
1. Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các thuật toán tự học, trí tuệ nhân tạo và các hệ thống tự động khác.
2. Thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích ảnh hưởng thuận toán, trí tuệ nhân tạo và các hệ thống tự động đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.
3. Đưa ra các lựa chọn để chủ thể dữ liệu có quyền không tham gia.
Điều 25. Bảo vệ dữ liệu cá nhân trong điện toán đám mây
1. Áp dụng các biện pháp kỹ thuật và tổ chức để tránh dữ liệu bị truy cập trái phép.
2. Các tổ chức, cá nhân ký kết hợp đồng, thỏa thuận có liên quan tới xử lý dữ liệu cá nhân với các doanh nghiệp cung cấp dịch vụ điện toán đám mây phải yêu cầu:
a) Nêu rõ trong nội dung hợp đồng, thỏa thuận về việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm; chấp hành quy định về việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của pháp luật;
b) Chỉ xử lý dữ liệu của khách hàng vì lợi ích và thay mặt cho khách hàng;
c) Có yêu cầu về các biện pháp bảo mật, kỹ thuật, tổ chức và được nêu rõ trong hợp đồng;
d) Thông báo ngay lập tức bất kỳ sự thay đổi nào có thể ảnh hưởng tới dữ liệu cá nhân;
đ) Bồi thường thiệt hại (nếu có);
e) Cung cấp các báo cáo kiểm toán hợp lý, xóa các dữ liệu khách hàng theo yêu cầu;
g) Thực hiện đầy đủ các biện pháp kỹ thuật để bảo đảm quyền truy cập dữ liệu được phân cấp một cách hợp lý.
3. Các doanh nghiệp cung cấp dịch vụ điện toán đám mây:
a) Chấp hành các quy định về bảo vệ dữ liệu cá nhân của Việt Nam, cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm, chấp hành quy định về việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của pháp luật;
b) Đề nghị các nhà thầu phụ thực hiện các quy định và nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
c) Áp dụng các biện pháp kỹ thuật và tổ chức ở mức phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của mình.
Điều 26. Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động
1. Chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động.
2. Các thông tin được cung cấp trong hồ sơ người lao động được xử lý theo quy định của pháp luật và phải được sự đồng ý của chủ thể dữ liệu.
3. Hồ sơ người lao động được lưu trữ có thời hạn theo quy định của pháp luật và phải được xóa khi không còn yêu cầu hoặc kết thúc thời gian theo quy định.
4. Khi dữ liệu cá nhân của người lao động được cập nhật lên hệ thống sở dữ liệu người lao động toàn cầu:
a) Pháp nhân thu thập và xử lý dữ liệu cá nhân phải chứng minh được việc thu thập và xử lý dữ liệu là hợp pháp;
b) Chủ thể dữ liệu chịu trách nhiệm về tính hợp pháp của thông tin do mình cung cấp.
5. Các công ty nước ngoài tuyển dụng và xử lý dữ liệu cá nhân của nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam:
a) Tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật Việt Nam;
b) Có văn bản, thỏa thuận, hợp đồng với công ty đầu tư tại Việt Nam về việc xử lý dữ liệu cá nhân của người lao động;
c) Cung cấp cho công ty đầu tư tại Việt Nam bản sao dữ liệu về nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam để tuân thủ các quy định của pháp luật khi cần thiết.
6. Việc xử lý dữ liệu cá nhân áp dụng các biện pháp công nghệ, kỹ thuật giám sát người lao động là nhân viên công ty:
a) Áp dụng các biện pháp quản lý phù hợp với quy định của pháp luật và bảo đảm quyền và lợi ích của chủ thể dữ liệu, trên cơ sở nhân viên công ty biết rõ và đồng ý với việc giám sát;
b) Nêu rõ thông tin về biện pháp, công nghệ, nội dung giám sát người lao động trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
c) Cam kết không sử dụng các công nghệ, giải pháp kỹ thuật và giám sát những nội dung pháp luật không cho phép.
Điều 27. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng
1. Các công ty tài chính, ngân hàng, tín dụng:
a) Không được mua, bán thông tin tín dụng hoặc chuyển giao trái phép thông tin tín dụng giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;
b) Không được gửi, truyền bản rõ dữ liệu về tài chính, tín dụng của chủ thể dữ liệu giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;
c) Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn bảo mật về thanh toán, tín dụng theo quy định của pháp luật;
d) Không được sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu;
đ) Kết quả đánh giá thông tin tín dụng của chủ thể dữ liệu chỉ được dưới dạng Đạt hoặc Không Đạt, Có hoặc Không, Đúng hoặc Sai, hoặc thang điểm trên cơ sở dữ liệu mà các tổ chức tài chính, ngân hàng, tín dụng, thông tin tín dụng thu thập trực tiếp từ khách hàng;
e) Xác định và tuyên bố rõ ràng về các khâu đoạn cần áp dụng biện pháp khử nhận dạng dữ liệu cá nhân;
g) Phải thông báo cho chủ thể dữ liệu về các sự cố và việc mất các thông tin về tài khoản tài chính.
2. Các tổ chức kinh doanh dịch vụ thông tin tín dụng, ngân hàng, bảo hiểm, tài chính, trung gian thanh toán không được cung cấp, chuyển giao trái phép dữ liệu cá nhân cho nhau và với các tổ chức doanh nghiệp khác, trừ trường hợp được luật cho phép.
3. Chỉ được cung cấp thông tin tín dụng, sản phẩm thông tin tín dụng của chủ thể dữ liệu cho các tổ chức, cá nhân là các tổ chức tài chính, ngân hàng, tín dụng khi có quy định của luật.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là đầu mối yêu cầu cung cấp thông tin tín dụng phục vụ điều tra, xử lý hành vi vi phạm pháp luật theo quy định.
Điều 28. Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm
1. Bắt buộc phải có sự đồng ý của chủ thể dữ liệu trong quá trình thu thập, xử lý dữ liệu.
2. Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các quy định khác về bảo vệ sức khỏe theo quy định của pháp luật.
3. Các tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho các tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu.
4. Áp dụng các biện pháp quản lý để giảm thiểu thu thập, xử lý lượng dữ liệu cá nhân liên quan tới sức khỏe.
5. Các nhà phát triển phải tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân, trách nhiệm nghề nghiệp, tiêu chuẩn đạo đức và quy định về sản phẩm y tế khi xử lý dữ liệu cá nhân.
6. Trường hợp doanh nghiệp nhượng tái bảo hiểm và có chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng.
Điều 29. Ký kết hợp đồng, thỏa thuận với chủ thể dữ liệu
1. Các hợp đồng, thỏa thuận với chủ thể dữ liệu phải có nội dung liên quan tới bảo vệ dữ liệu cá nhân. Trong đó, nêu rõ trách nhiệm, quyền lợi và nghĩa vụ phải tuân thủ của các bên tham gia.
2. Nêu rõ nội dung trường hợp áp dụng các công nghệ, biện pháp giám sát người lao động và yêu cầu sự đồng ý.
1. Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến (RFID) và các công nghệ khác trừ khi có sự đồng ý rõ ràng của chủ thể dữ liệu hoặc khi có yêu cầu pháp luật.
2. Các nền tảng ứng dụng di động cần có sự thông báo rõ ràng với khách hàng và người sử dụng về việc sử dụng dữ liệu vị trí và có biện pháp ngăn chặn việc thu thập dữ liệu vị trí của các tổ chức, cá nhân không liên quan.
3. Áp dụng đầy đủ quy định bảo vệ dữ liệu cá nhân đối với các hoạt động quảng cáo dựa trên hành vi và vị trí của người dùng.
1. Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT) có trách nhiệm:
a) Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam.
b) Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ OTT. Không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
c) Không được yêu cầu chụp ảnh căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản.
d) Cung cấp lựa chọn cho phép người dùng từ chối thu thập cookies và chia sẻ cookies.
đ) Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ OTT khi có sự đồng ý của người sử dụng.
e) Thông báo cụ thể, rõ ràng, bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng.
g) Nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu là hành vi vi phạm pháp luật.
2. Dữ liệu cá nhân đăng ký tài khoản mạng xã hội, dịch vụ OTT không phải là dữ liệu công khai và không thuộc trường hợp được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu.
Điều 32. Dữ liệu sinh trắc học
1. Các tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học áp dụng đầy đủ quy định về bảo vệ liệu cá nhân theo quy định của pháp luật.
2. Thông báo rõ ràng về hậu quả, rủi ro tiềm ẩn khi thu thập, xử lý dữ liệu sinh trắc của chủ thể dữ liệu.
Điều 33. Phòng, chống thu thập, chuyển giao trái phép, mua, bán dữ liệu cá nhân
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
3. Việc cho phép các tổ chức, cá nhân sử dụng dịch vụ của mình để mua bán dữ liệu cá nhân là vi phạm pháp luật.
Điều 34. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do trì hoãn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân xử lý hành vi vi phạm.
6. Tổ chức, cá nhân thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa Chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
d) Đề nghị xem xét lại tính hợp pháp của quyết định hành chính, xử lý hành chính, xử lý kỷ luật;
đ) Trường hợp khác theo quy định của pháp luật.
SỬ DỤNG DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG KINH DOANH
Điều 35. Sử dụng dữ liệu cá nhân trong hoạt động kinh doanh
1. Dữ liệu cá nhân được sử dụng vào hoạt động kinh doanh khi bảo đảm đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Việc kinh doanh dữ liệu cá nhân phải phù hợp với ngành nghề kinh doanh đã đăng ký và phù hợp với mục đích xử lý dữ liệu đã cam kết, ký kết với chủ thể dữ liệu.
4. Chỉ cơ quan nhà nước có thẩm quyền được pháp luật cho phép mới được đánh giá xếp hạng công dân dựa trên dữ liệu cá nhân nhằm bảo đảm quyền con người được Hiến pháp ghi nhận.
Điều 36. Tổ chức bảo vệ dữ liệu cá nhân
1. Tổ chức bảo vệ dữ liệu cá nhân, gồm:
a) Tổ chức đủ năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân;
b) Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu cá nhân.
2. Tổ chức đủ năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ và pháp lý.
3. Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ.
4. Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về pháp lý.
5. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Tổ chức bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.
Điều 37. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân
1. Điều kiện kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân:
a) Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý.
b) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
2. Hồ sơ phê duyệt kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân, bao gồm:
a) Đơn đề nghị kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân;
b) Giấy tờ chứng minh tư cách pháp lý của tổ chức đề nghị: Bản sao chứng Quyết định thành lập hoặc các tài liệu tương đương khác;
c) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý;
d) Giấy chứng nhận xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
2. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, phê duyệt Hồ sơ đề nghị kinh doanh Tổ chức bảo vệ dữ liệu cá nhân.
3. Thủ tục phê duyệt Hồ sơ đề nghị kinh doanh Tổ chức bảo vệ dữ liệu cá nhân:
a) Các tổ chức có nhu cầu gửi 01 bộ hồ sơ theo quy định tại Khoản 2 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định phê duyệt hồ sơ đề nghị kinh doanh Tổ chức bảo vệ dữ liệu cá nhân.
4. Thời hạn của Quyết định phê duyệt là 05 năm kể từ ngày ký ban hành. Hết thời hạn, Tổ chức bảo vệ dữ liệu cá nhân tiếp tục đề nghị cơ quan chuyên trách bảo vệ dữ liệu cá nhân để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý.
5. Đình chỉ hoặc chấm dứt hoạt động của Tổ chức bảo vệ dữ liệu cá nhân theo một trong các trường hợp sau:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 2 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động;
c) Trong 24 tháng không thực hiện hoạt động kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân;
d) Quá trình hoạt động, phát hiện hành vi sai phạm và không bảo đảm năng lực của Tổ chức bảo vệ dữ liệu cá nhân.
Điều 38. Chuyên gia bảo vệ dữ liệu cá nhân
1. Chuyên gia bảo vệ dữ liệu cá nhân, gồm:
a) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý;
b) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ;
c) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý.
2. Điều kiện cấp Giấy chứng nhận đối với chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ và pháp lý:
a) Có văn bằng trình độ cao đẳng trở lên về bảo mật, an toàn thông tin, an ninh mạng;
b) Có văn bằng trình độ cao đẳng trở lên về pháp luật;
c) Đã hoàn thành khóa học Chứng nhận đủ điều kiện năng lực pháp lý và công nghệ về bảo vệ dữ liệu cá nhân.
3. Điều kiện cấp Giấy chứng nhận đối với cá nhân bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý:
a) Có văn bằng trình độ cao đẳng trở lên về pháp luật;
b) Đã hoàn thành khóa học chứng nhận đủ điều kiện về năng lực pháp lý bảo vệ dữ liệu cá nhân.
4. Điều kiện cấp Giấy chứng nhận đối với cá nhân bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ:
a) Có văn bằng trình độ cao đẳng trở lên về bảo mật, an toàn thông tin, an ninh mạng;
b) Đã hoàn thành khóa học chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân.
5. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.
Điều 39. Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân
1. Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân là việc Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân cấp Giấy chứng nhận đủ điều kiện năng lực công nghệ và pháp lý cho chuyên gia về bảo vệ dữ liệu cá nhân.
2. Giấy chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân, bao gồm:
a) Giấy chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân;
b) Giấy chứng nhận đủ điều kiện về năng lực công nghệ bảo vệ dữ liệu cá nhân;
c) Giấy chứng nhận đủ điều kiện về năng lực pháp lý bảo vệ dữ liệu cá nhân.
3. Giấy chứng nhận đủ điều kiện năng về bảo vệ dữ liệu cá nhân do Các Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân cấp.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
Điều 40. Phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân
1. Hồ sơ phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân, bao gồm:
a) Đơn đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
b) Giấy tờ chứng minh tư cách pháp lý của tổ chức đề nghị: Bản sao chứng Quyết định thành lập hoặc các tài liệu tương đương khác.
c) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý.
d) Đề án đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân, gồm các nội dung: Sự cần thiết, mục tiêu; Nội dung đề nghị phê duyệt; Lĩnh vực đề nghị phê duyệt; Ngành nghề, lĩnh vực kinh doanh; Cơ sở vật chất, thiết bị; Chương trình và nội dung chứng nhận; Đối tượng chứng nhận; Tiêu chí chứng nhận; Hình thức tổ chức kiểm tra, đánh giá, chứng nhận; Danh sách người thực hiện tổ chức chứng nhận; Các văn bằng, chứng chỉ của người thực hiện tổ chức chứng nhận; Dự kiến kinh phí hoạt động; Trách nhiệm và quyền hạn của các bên.
2. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định Hồ sơ đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
3. Thủ tục phê duyệt Hồ sơ đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân:
a) Các tổ chức có nhu cầu gửi 01 bộ hồ sơ theo quy định tại Khoản 1 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
4. Thời hạn của Quyết định phê duyệt là 05 năm kể từ ngày ký ban hành. Hết thời hạn, Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Biên bản kiểm tra, xác minh đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.
5. Đình chỉ hoặc chấm dứt hoạt động của Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân theo một trong các trường hợp sau:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 4 và Khoản 6 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động;
c) Trong 24 tháng không thực hiện/ hoạt động chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân;
d) Cấp Giấy Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân không đủ điều kiện theo quy định.
Điều 41. Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
1. Các mức độ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Tín nhiệm cao;
b) Tín nhiệm;
c) Đạt;
d) Không đạt.
2. Loại hình doanh nghiệp được kinh doanh dịch vụ xếp hạng tín nhiệm:
a) Công ty trách nhiệm hữu hạn;
b) Công ty cổ phần;
c) Công ty hợp danh.
3. Phương pháp xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân phải xây dựng phương pháp xếp hạng tín nhiệm để phân tích, đánh giá được khả năng thực hiện đầy đủ, đúng quy định của pháp luật về hoạt động bảo vệ dữ liệu cá nhân của doanh nghiệp khác;
b) Phương pháp xếp hạng tín nhiệm phải đánh giá được các yếu tố rủi ro và mức độ ảnh hưởng đến khả năng thực hiện đầy đủ, đúng nghĩa vụ về bảo vệ dữ liệu cá nhân, gồm các nội dung cơ bản:
- Rủi ro vĩ mô;
- Rủi ro thị trường và môi trường kinh doanh;
- Rủi ro công nghệ, kỹ thuật;
- Rủi ro chiến lược;
- Rủi ro quản trị;
- Rủi ro nhân sự;
- Rủi ro tài chính;
- Các rủi ro khác theo đánh giá của doanh nghiệp xếp hạng tín nhiệm.
3. Việc xếp hạng đánh giá tín nhiệm bảo vệ dữ liệu cá nhân phải được thực hiện bởi chuyên viên phân tích tín nhiệm. Chuyên viên phân tích tín nhiệm tham gia vào từng hợp đồng xếp hạng tín nhiệm phải bảo đảm các yêu cầu cơ bản sau:
a) Có tối thiểu 01 năm hoạt động trên lĩnh vực bảo vệ dữ liệu cá nhân.b) Có ít nhất 2 năm làm việc trực tiếp trong lĩnh vực bảo mật, an toàn thông tin, an ninh mạng hoặc trong lĩnh vực pháp ;
b) Không tham gia hoạt động điều hành doanh nghiệp xếp hạng tín nhiệm;
c) Không đồng thời là thành viên Hội đồng xếp hạng tín nhiệm của cùng hợp đồng xếp hạng tín nhiệm đó.
5. Nhiệm vụ của chuyên viên phân tích tín nhiệm:
a) Thu thập thông tin, phân tích, nhận định, xếp hạng về khả năng thực hiện đầy đủ, đúng quy định của tổ chức được xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân theo phân công của doanh nghiệp xếp hạng tín nhiệm;
b) Báo cáo kết quả xếp hạng tín nhiệm dự kiến lên Hội đồng xếp hạng tín nhiệm theo phân công của doanh nghiệp xếp hạng tín nhiệm;
c) Báo cáo Hội đồng xếp hạng tín nhiệm và đề nghị chấm dứt tham gia vào hợp đồng xếp hạng tín nhiệm trong trường hợp xảy ra xung đột lợi ích theo quy định tại khoảnĐiều này;
6. Các doanh nghiệp không đăng ký kinh doanh dịch vụ xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân thì không được sử dụng cụm từ “xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân” hoặc các cụm từ khác có ý nghĩa tương tự.
7. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
Điều 42. Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
1. Điều kiện cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý;
b) Có vốn pháp định doanh nghiệp là từ 05 (năm) tỷ đồng trở lên;
c) Có tối thiểu 01 năm hoạt động trên lĩnh vực bảo vệ dữ liệu cá ;
d) Có tối thiểu 03 nhân sự đáp ứng được yêu cầu trở thành chuyên viên phân tích tín nhiệm.
đ) Có Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
2. Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân, gồm các nội dung:
a) Sự cần thiết, mục tiêu;
b) Nội dung đề nghị phê duyệt;
c) Lĩnh vực đề nghị phê duyệt;
d) Ngành nghề, lĩnh vực kinh doanh;
đ) Cơ sở vật chất, thiết bị;
e) Chương trình và nội dung chứng nhận;
g) Đối tượng chứng nhận;
h) Tiêu chí chứng nhận;
i) Hình thức tổ chức kiểm tra, đánh giá, chứng nhận;
k) Danh sách người thực hiện tổ chức chứng nhận;
l) Các văn bằng, chứng chỉ của người thực hiện tổ chức chứng nhận;
m) Dự kiến kinh phí hoạt động;
n) Trách nhiệm và quyền hạn của các bên.
3. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân với các doanh nghiệp đủ điều kiện.
4. Thủ tục cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Các doanh nghiệp có nhu cầu gửi 01 bộ hồ sơ theo quy định tại Khoản 1 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
5. Thời hạn của Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân là 05 năm. Hết thời hạn, doanh nghiệp có thể đăng ký gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý.
6. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 1 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động;
c) Trong 24 tháng không tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân;
d) Có sai phạm trong Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân đến mức phải thu hồi.
Điều 43. Dịch vụ xử lý dữ liệu cá nhân và Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
1. Dịch vụ xử lý dữ liệu cá nhân gồm:
a) Dịch vụ thông tin tín dụng;
b) Các dịch vụ của Bên Xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát, Bên Kiểm soát và Xử lý dữ liệu cá nhân;
c) Dịch vụ đánh giá khả tín dựa trên dữ liệu cá nhân;2. Điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân:
a) Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý có liên quan tới xử lý dữ liệu cá nhân;
b) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
3. Hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm:
a) Đơn đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân;
b) Bản sao chứng thực Giấy chứng nhận đăng ký danh nghiệp;
c) Văn bản chứng nhận đủ năng lực hoạt động về năng lực về công nghệ và pháp lý;
d) Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm các nội dung: Sự cần thiết, mục tiêu; Nội dung đề nghị phê duyệt; Lĩnh vực đề nghị phê duyệt; Ngành nghề, lĩnh vực kinh doanh; Cơ sở vật chất, thiết bị; Phương án kinh doanh; Dự kiến kinh phí hoạt động; Trách nhiệm và quyền hạn của doanh nghiệp trong xử lý dữ liệu cá nhân.
đ) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.
4. Trong thời gian 30 ngày làm việc, Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, xem xét, phê duyệt Hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân. Trường hợp từ chối, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông báo bằng văn bản cho doanh nghiệp và nêu rõ lý do.
5. Thời hạn của Quyết định phê duyệt là 05 năm kể từ ngày ký ban hành. Hết thời hạn, doanh nghiệp làm hồ sơ để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Biên bản kiểm tra, xác minh đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân trước thời điểm đề nghị gia hạn không quá 06 tháng;
c) Đã được xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt trước thời điểm đề nghị gia hạn không quá 06 tháng.
5. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân:
a) Khi không bảo đảm một trong các điều kiện tại Khoản 1, 2 Điều này;
b) Có mức độ xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân được đánh giá là Không đạt.
Điều 44. Đánh giá tác động xử lý dữ liệu cá nhân
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Mô tả và đánh giá hiện trạng tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân;
k) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
l) Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân.
2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện thay mặt cho Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý thay mặt cho Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Mô tả và đánh giá hiện trạng tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân;
i) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
k) Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân.
3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân 01 bản chính trong thời gian 60 ngày làm việc kể từ ngày tiến hành xử lý dữ liệu cá nhân.
5. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 45. Chuyển dữ liệu cá nhân ra nước ngoài
1. Các trường hợp chuyển dữ liệu cá nhân ra nước ngoài:
a) Chia sẻ dữ liệu cá nhân với người nhận ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam;
b) Chia sẻ dữ liệu cá nhân tại một hội nghị, hội thảo, các cuộc họp, thảo luận ở nước ngoài;
c) Gửi tài liệu hoặc email chứa dữ liệu cá nhân cho người nhận ở với người nhận ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam;
d) Công bố dữ liệu cá nhân trên không gian mạng khiến người ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam nhận được;
đ) Cung cấp dữ liệu cá nhân cho tổ chức, doanh nghiệp, cá nhân khác để thục hiện hoạt động kinh doanh;
e) Cung cấp dữ liệu cá nhân thực hiện nghĩa vụ pháp lý ở nước ngoài hoặc theo pháp luật của quốc gia sở tại.
2. Bên chuyển dữ liệu ra nước ngoài là tổ chức, cá nhân thực hiện các hoạt động nêu tại Khoản 1 Điều này phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:
a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Luật này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Luật này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân 01 bản chính trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
5. Bên chuyển dữ liệu thông báo cho gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách sau khi việc chuyển dữ liệu diễn ra thành công.
6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
8. Căn cứ tình hình cụ thể, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Luật này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
9. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định yêu cầu ngừng chuyển dữ liệu ra nước ngoài của tổ chức, doanh nghiệp, cá nhân khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam.
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được cập nhật định kỳ 06 tháng một (01) lần khi có sự thay đổi.
2. Các trường hợp thay đổi cần cập nhật ngay, gồm:
a) Khi công ty giải thể, sáp nhập;
b) Khi có sự thay đổi thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Khi phát sinh ngành nghề, dịch vụ kinh doanh mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan tới dữ liệu cá nhân đã đăng ký trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
3. Việc cập nhật Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được thực hiện trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, gửi qua bưu chính hoặc trực tiếp tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 47. Biện pháp bảo vệ dữ liệu cá nhân
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
đ) Các biện pháp khác theo quy định của pháp luật.
Điều 48. Bảo vệ dữ liệu cá nhân cơ bản
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 47 Luật này.
2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Luật này.
3. Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân.
Điều 49. Bảo vệ dữ liệu cá nhân nhạy cảm
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 47 và Điều 48 Luật này.
2. Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
4. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Luật này.
5. Đánh giá tín nhiệm về bảo vệ dữ liệu cá nhân.
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có trách nhiệm giúp Bộ Công an thực quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân:
a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
b) Tuyên truyền, phổ biến, chính sách, pháp luật về bảo vệ dữ liệu cá nhân;
c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân;
d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng;
đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;
g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
3. Bộ Công an chủ trì xây dựng, quản lý, vận hành; Bộ Tài chính bảo đảm kinh phí xây dựng, quản lý và vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
Điều 51. Lực lượng bảo vệ dữ liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 52. Nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân
1. Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ bảo vệ dữ liệu cá nhân.
2. Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ dữ liệu cá nhân đạt chuẩn.
3. Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng.
4. Ghi nhận và quản lý sự tuân thủ quy định về bảo vệ dữ liệu cá nhân.
5. Xây dựng Tiêu chuẩn về bảo vệ dữ liệu cá nhân.
6. Giải quyết nguy cơ lộ, mất dữ liệu cá nhân.
7. Sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về bảo vệ dữ liệu cá nhân.
8. Xử lý dữ liệu cá nhân phục vụ công tác thống kê, khoa học.
9. Nghiên cứu thực tiễn, phát triển lý luận bảo vệ dữ liệu cá nhân.
Điều 53. Nâng cao năng lực bảo vệ dữ liệu cá nhân
1. Nhà nước khuyến khích, tạo điều kiện để cơ quan, tổ chức, cá nhân nâng cao năng lực bảo vệ dữ liệu cá nhân và sử dụng dữ liệu cá nhân đúng pháp luật vào mục đích phát triển kinh tế, xã hội.
2. Chính phủ thực hiện các biện pháp sau đây để nâng cao năng lực bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân:
a) Thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
b) Thúc đẩy ứng dụng công nghệ mới, công nghệ tiên tiến liên quan đến bảo vệ dữ liệu cá nhân;
c) Tổ chức đào tạo, phát triển và sử dụng nhân lực bảo vệ dữ liệu cá nhân;
d) Tăng cường môi trường kinh doanh, cải thiện điều kiện cạnh tranh hỗ trợ doanh nghiệp nghiên cứu, sản xuất sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
đ) Ban hành cơ chế, chính sách đúng quy định pháp luật nhằm sử dụng dữ liệu cá nhân phục vụ mục đích phát triển kinh tế, xã hội.
Điều 54. Giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân
2. Bộ, ngành, cơ quan, tổ chức có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức về bảo vệ dữ liệu cá nhân cho cán bộ, công chức, viên chức, người lao động trong Bộ, ngành, cơ quan, tổ chức.
3. Ủy ban nhân dân cấp tỉnh có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức, nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân của địa phương.
4. Mỗi người dân đều cần trang bị kiến thức, nhận thức, kỹ năng bảo vệ dữ liệu cá nhân.
5. Nội dung giáo dục, bồi dưỡng kiến thức bảo vệ dữ liệu cá nhân được đưa vào chương trình đào tạo trong nhà trường, từ bậc tiểu học cho tới đào tạo đại học.
6. Bộ Công an chủ trì, phối hợp với Bộ Giáo dục và Đào tạo, các Bộ, ngành có liên quan tổ chức bồi dưỡng nghiệp vụ bảo vệ dữ liệu cá nhân cho lực lượng bảo vệ an ninh mạng và công chức, viên chức, người lao động, học sinh, sinh viên.
Điều 55. Kiểm tra công tác bảo vệ dữ liệu cá nhân
1. Kiểm tra công tác bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, định kỳ, đột xuất, trong trường hợp sau đây:
a) Khi có hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
b) Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.
2. Đối tượng bảo vệ dữ liệu cá nhân bao gồm:
a) Cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân;
b) Tổ chức, cá nhân kinh doanh hoạt động xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân phải thực hiện hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
d) Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
3. Nội dung kiểm tra công tác bảo vệ dữ liệu cá nhân:
a) Hiện trạng tuân thủ công tác bảo vệ dữ liệu cá nhân;
b) Hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
c) Hoạt động chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định kiểm tra và thông báo trước cho đối tượng kiểm tra quy định tại khoản 2 Điều này trước 15 ngày làm việc về thời gian, nội dung và thành phần đoàn kiểm tra.
5. Đối tượng được kiểm tra phải chuẩn bị đầy đủ các nội dung kiểm tra theo quy định của pháp luật.
6. Kết quả kiểm tra được bảo mật theo quy định của pháp luật.
Điều 56. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Kinh phí thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.
2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 57. Trách nhiệm của Bộ Công an
1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
3. Quản lý Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
4. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Luật này.
5. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra, điều tra, giải quyết khiếu nại về bảo vệ dữ liệu cá nhân, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Điều 58. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Lưu trữ và ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân bằng văn bản hoặc hình thức điện tử.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 34 Luật này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Luật này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 59. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Luật này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 60. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Điều 61. Trách nhiệm của Bên thứ Ba
Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Luật này.
Điều 62. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Luật này.
2. Đề xuất ban hành Danh mục dữ liệu mở quốc gia phù hợp với quy định bảo vệ dữ liệu cá nhân.
3. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao.
4. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Điều 63. Trách nhiệm của Bộ Quốc phòng
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
Điều 64. Trách nhiệm của Bộ Khoa học và Công nghệ
1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân.
2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
Điều 65. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Luật này.
3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
Điều 66. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Luật này.
3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
Điều 67. Trách nhiệm của tổ chức, cá nhân có liên quan
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Luật này.
3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
Chương VII
ĐIỀU KHOẢN THI HÀNH
Điều 68. Hiệu lực thi hành
1. Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.
2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.
3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
Luật này được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ thông qua ngày tháng năm 2025.
|
| CHỦ TỊCH QUỐC HỘI |
DỰ THẢO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
Điều 2. Giải thích từ ngữ
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Điều 5. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân
Điều 6. Áp dụng Luật bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
Điều 8. Hành vi bị nghiêm cấm
Chương II
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ liệu
Điều 10. Nghĩa vụ của chủ thể dữ liệu
CHƯƠNG III
BẢO VỆ DỮ LIỆU CÁ NHÂN
TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ thể dữ liệu
Điều 12. Rút lại sự đồng ý
Điều 13. Thông báo xử lý dữ liệu cá nhân
Điều 14. Cung cấp dữ liệu cá nhân
Điều 15. Chỉnh sửa dữ liệu cá nhân
Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
Điều 20. Xử lý dữ liệu cá nhân của trẻ em
Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị
Điều 22. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể
Điều 23. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
Điều 24. Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo
Điều 25. Bảo vệ dữ liệu cá nhân trong điện toán đám mây
Điều 26. Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động
Điều 27. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng
Điều 28. Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm
Điều 29. Ký kết hợp đồng, thỏa thuận với chủ thể dữ liệu
Điều 30. Dữ liệu vị trí
Điều 31. Mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng
Điều 32. Dữ liệu sinh trắc học
Điều 33. Phòng, chống thu thập, chuyển giao trái phép, mua, bán dữ liệu cá nhân
Điều 34. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
CHƯƠNG IV
SỬ DỤNG DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG KINH DOANH
Điều 35. Sử dụng dữ liệu cá nhân trong hoạt động kinh doanh
Điều 36. Tổ chức bảo vệ dữ liệu cá nhân
Điều 37. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân
Điều 38. Chuyên gia bảo vệ dữ liệu cá nhân
Điều 39. Chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân
Điều 40. Phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân
Điều 41. Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
Điều 42. Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
Điều 43. Dịch vụ xử lý dữ liệu cá nhân và Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Điều 44. Đánh giá tác động xử lý dữ liệu cá nhân
Điều 45. Chuyển dữ liệu cá nhân ra nước ngoài
Điều 46. Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
CHƯƠNG V
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 47. Biện pháp bảo vệ dữ liệu cá nhân
Điều 48. Bảo vệ dữ liệu cá nhân cơ bản
Điều 49. Bảo vệ dữ liệu cá nhân nhạy cảm
Điều 50. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
Điều 51. Lực lượng bảo vệ dữ liệu cá nhân
Điều 52. Nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân
Điều 53. Nâng cao năng lực bảo vệ dữ liệu cá nhân
Điều 54. Giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân
Điều 55. Kiểm tra công tác bảo vệ dữ liệu cá nhân
Điều 56. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 57. Trách nhiệm của Bộ Công an
Điều 58. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
Điều 59. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
Điều 60. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Điều 61. Trách nhiệm của Bên thứ Ba
Điều 62. Trách nhiệm của Bộ Thông tin và Truyền thông
Điều 63. Trách nhiệm của Bộ Quốc phòng
Điều 64. Trách nhiệm của Bộ Khoa học và Công nghệ
Điều 65. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ
Điều 66. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương
Điều 67. Trách nhiệm của tổ chức, cá nhân có liên quan
Chương VII
ĐIỀU KHOẢN THI HÀNH
Điều 68. Hiệu lực thi hành
- 1Công văn 2916/BCA-A05 năm 2023 về tăng cường công tác bảo vệ dữ liệu cá nhân do Bộ Công an ban hành
- 2Quyết định 2813/QĐ-BTC năm 2023 Quy chế bảo vệ dữ liệu cá nhân tại Bộ Tài chính
- 3Công văn 4567/BGDĐT-CNTT năm 2024 về tăng cường công tác bảo vệ dữ liệu cá nhân và an toàn thông tin mạng do Bộ Giáo dục và Đào tạo ban hành
Luật Bảo vệ dữ liệu cá nhân 2025
- Số hiệu: 91/2025/QH15
- Loại văn bản: Luật
- Ngày ban hành: 26/06/2025
- Nơi ban hành: Quốc hội
- Người ký: Trần Thanh Mẫn
- Ngày công báo: Đang cập nhật
- Số công báo: Đang cập nhật
- Ngày hiệu lực: 01/01/2026
- Tình trạng hiệu lực: Kiểm tra