|
QUỐC HỘI
--------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Luật số: /2025/QH15
|
|
|
DỰ THẢO
|
|
LUẬT
BẢO VỆ DỮ LIỆU CÁ NHÂN
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ
nghĩa Việt Nam;
Quốc hội ban hành Luật Bảo vệ dữ liệu cá
nhân.
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
và đối tượng áp dụng
1. Luật này quy định về bảo vệ dữ liệu cá nhân
và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên
quan.
2. Luật này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt
Nam;
b) Cơ quan, tổ chức, cá nhân nước
ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân Việt
Nam hoạt động tại nước ngoài;
d) Cơ quan, tổ chức, cá nhân nước
ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân
tại Việt Nam;
đ) Cơ quan, tổ chức, cá nhân
thu thập, xử lý dữ liệu cá nhân của người nước ngoài trên phạm vi lãnh thổ nước
Cộng hòa xã hội chủ nghĩa Việt Nam.
Điều 2. Giải thích từ ngữ
Trong Luật này, các từ
ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng
ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường
điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ
thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ
thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các
dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu cá nhân cơ bản là thông tin cơ
bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn
liền với danh tính của công dân, gồm:
a) Họ, chữ đệm và tên khai sinh, bí danh (nếu
có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường
trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định
danh cá nhân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số
xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn
nhân;
i) Thông tin về
mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu
cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng.
l) Các thông tin khác gắn liền với danh tính của
công dân không thuộc quy định tại 4 Điều này.
4. Dữ liệu cá nhân nhạy cảm là thông tin
khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ
chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong
hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc,
thông tin liên quan đến nguồn gốc dân tộc,
d) Thông tin về đặc điểm di truyền được thừa hưởng
hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh
học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình
dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được
thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng,
chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán,
các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của
pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản
gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ
chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh
toán;
i) Thông tin về người sử dụng đất, dữ liệu đất
đai có chứa thông tin về người sử dụng đất;
k) Dữ liệu về vị trí của cá nhân được xác định
qua dịch vụ định vị;
l) Dữ liệu cá nhân khác được pháp luật quy định
là đặc thù và cần có biện pháp bảo mật cần thiết.
5. Chủ thể dữ liệu là cá nhân được dữ liệu
cá nhân phản ánh.
6. Xử lý dữ liệu cá nhân là một hoặc nhiều
hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận,
lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi,
mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy
dữ liệu cá nhân hoặc các hành động khác có liên quan.
7. Bảo vệ dữ liệu cá nhân là hoạt động
tuyên truyền, hướng dẫn, bảo đảm, quản lý, vận hành, phòng ngừa, phát hiện,
ngăn chặn, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá
nhân.
8. Quyền bảo vệ dữ liệu cá nhân là quyền
của cá nhân được thực hiện hoặc yêu cầu các cơ quan, tổ chức, cá nhân tôn trọng,
bảo vệ và thực hiện các biện pháp cụ thể để bảo vệ dữ liệu cá nhân của mình.
9. Sự đồng ý của chủ thể dữ liệu
là thông tin được thể hiện rõ ràng, tự nguyện, khẳng định về việc cho phép xử
lý dữ liệu cá nhân của chủ thể dữ liệu.
10. Bên Kiểm soát dữ liệu cá nhân là tổ
chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
11. Bên Xử lý dữ liệu cá nhân là tổ chức,
cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông
qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
12. Bên Kiểm soát và xử lý dữ liệu cá nhân
là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử
lý dữ liệu cá nhân.
13. Bên thứ ba là tổ chức, cá nhân
ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá
nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
14. Nhà phát triển liên quan tới bảo vệ dữ liệu
cá nhân là cá nhân hoặc tổ chức có liên quan đến quá trình phát triển
chương trình, ứng dụng, phần mềm, hệ thống công nghệ thông tin có thu thập, xử
lý, lưu trữ dữ liệu cá nhân.
15. Tổ chức bảo vệ dữ liệu cá nhân là tổ
chức được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu
cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định
làm bộ phận bảo vệ dữ liệu cá nhân,
16. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu
cá nhân là việc các tổ chức, doanh nghiệp có năng lực về công nghệ và pháp
lý về bảo vệ dữ liệu cá nhân cung cấp dịch vụ Tổ chức bảo vệ dữ liệu cá nhân nhằm
đáp ứng nhu cầu của Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển
dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam.
17. Chuyên gia bảo vệ dữ liệu cá nhân là
người được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu
cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định
làm nhân sự bảo vệ dữ liệu cá nhân, có năng lực về công nghệ và/hoặc pháp lý về
bảo vệ dữ liệu cá nhân, được nêu cụ thể trong Hồ sơ đánh giá tác động bảo vệ dữ
liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
18. Kinh doanh dịch vụ Chuyên gia bảo vệ dữ
liệu cá nhân là việc các tổ chức, doanh nghiệp, cá nhân có năng lực về công
nghệ và pháp lý về bảo vệ dữ liệu cá nhân cung cấp dịch vụ Chuyên gia bảo vệ dữ
liệu cá nhân nhằm đáp ứng nhu cầu của Bên Kiểm soát, Bên Kiểm soát và xử lý,
Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân
của công dân Việt Nam.
19. Tổ chức chứng nhận đủ điều kiện về bảo vệ
dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
chứng nhận, ủy quyền và có khả năng thẩm định, kiểm tra, xác nhận, cấp Giấy chứng
nhận đủ điều kiện cho Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu
cá nhân.
20. Xếp hạng tín nhiệm về bảo vệ dữ liệu cá
nhân là việc đánh giá mức độ uy tín của tổ chức, cá nhân có liên quan tới xử
lý dữ liệu cá nhân.
21. Tổ chức xếp hạng tín nhiệm
bảo vệ dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân chứng nhận, ủy quyền và có khả năng thẩm định, kiểm tra, xác nhận, xếp
hạng mức độ tín nhiệm về bảo vệ dữ liệu cá nhân.
22. Dịch vụ xử lý dữ liệu cá nhân là
ngành, nghề kinh doanh có điều kiện cung cấp các giải pháp xử lý dữ liệu cá
nhân thay mặt cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu
cá nhân.
23. Xử lý dữ liệu cá nhân tự động là hình
thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh
giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở
thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp
khác.
24. Chuyển dữ liệu cá nhân ra nước ngoài
là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các
hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm
ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa
điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ
liệu cá nhân.
25. Khử nhận dạng dữ liệu cá nhân là quá
trình ẩn danh hoặc xóa các nội dung định danh hoặc thay thế chúng bằng tên hoặc
mã giả tưởng khác để tạo ra dữ liệu mới không thể xác định một
cá nhân cụ thể.
26. Sử dụng dữ liệu cá nhân để tiếp thị
là hoạt động liên quan tới việc gọi điện, gửi email, tin nhắn, thư hoặc truyền
tải các thông tin tiếp thị khác tới người tiêu dùng thông qua dữ liệu cá nhân của
khách hàng đã thu thập trước đó.
27. Sử dụng dữ liệu cá nhân để quảng cáo theo
hành vi hoặc có mục tiêu cụ thể là hoạt động sử dụng dữ liệu cá nhân của
khách hàng hoặc dữ liệu hành vi của khách hàng để quảng cáo theo mục tiêu được
xác định.
28. Vi phạm quy định về bảo vệ dữ liệu cá nhân
là các hoạt động vi phạm, không thực hiện, thực hiện không đúng quy định của
pháp luật về bảo vệ dữ liệu cá nhân khác.
Điều 3. Nguyên tắc bảo vệ dữ
liệu cá nhân
1. Dữ liệu cá nhân không được mua, bán dưới mọi
hình thức.
2. Dữ liệu cá nhân được xử lý công khai, minh bạch.
Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của
mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục
đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm
soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá
nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới
hạn trong phạm vi, mục đích cần xử lý. Công ty mẹ, công ty con và mỗi công ty
trong thành viên tập đoàn kinh tế, tổng công ty có trách nhiệm bảo vệ dữ liệu
cá nhân độc lập theo quy định của pháp luật. Sự đồng ý của chủ thể dữ liệu đối
với một công ty không đồng nghĩa với việc đồng ý cho toàn bộ các công ty trong
thành viên tập đoàn kinh tế, tổng công ty xử lý dữ liệu cá nhân.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp
với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo
vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi phạm
quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt
hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng
thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định
khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý
dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được
quy định từ khoản 1 tới khoản 8 Điều này và chứng minh sự tuân thủ của mình với
các nguyên tắc xử lý dữ liệu đó.
Điều 4. Xử lý vi phạm quy định
bảo vệ dữ liệu cá nhân
Cơ quan, tổ chức, cá nhân vi phạm quy định về bảo
vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm
hành chính, xử lý hình sự theo quy định.
Điều 5. Nội dung quản lý nhà
nước về bảo vệ dữ liệu cá nhân
1. Trình cơ quan nhà nước có thẩm quyền ban hành
hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực
hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và tổ chức thực hiện chiến lược, chính
sách, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.
3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện
pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ
liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng và vận động xã hội bảo
vệ dữ liệu cá nhân.
5. Xây dựng, đào tạo, bồi dưỡng đội ngũ cán bộ,
công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra việc thực hiện quy định của
pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi
phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Thống kê tin, báo cáo về tình hình bảo vệ dữ
liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan
nhà nước có thẩm quyền.
8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Điều 6. Áp dụng Luật bảo vệ
dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
1. Luật khác có quy định về bảo vệ dữ liệu cá
nhân thì không được trái với quy định tại Luật này. Trường hợp luật khác không
quy định hoặc có quy định về bảo vệ dữ liệu cá nhân mà khác với quy định của Luật
này thì áp dụng theo quy định của Luật này.
2. Việc bảo vệ dữ liệu cá nhân được thực hiện
theo các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành
viên.
Điều 7. Hợp tác quốc tế về bảo
vệ dữ liệu cá nhân
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều
kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu
cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp
điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ
liệu cá nhân.
3. Tổ chức các hội nghị, hội thảo, nghiên cứu
khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật
để bảo vệ dữ liệu cá nhân.
4. Tổ chức các cuộc gặp song phương, đa phương,
trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu
cá nhân.
Điều 8. Hành vi bị nghiêm cấm
1. Xử lý dữ liệu cá nhân trái với quy định của
pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ
liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ
liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi
ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của
cơ quan chức năng có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để
vi phạm pháp luật.
6. Thu thập, xử lý, chuyển giao dữ liệu cá nhân
trái phép và mua bán dữ liệu cá nhân.
7. Chuyển giao dữ liệu cá nhân cho các tổ chức,
cá nhân không phù hợp với mục đích xử lý dữ liệu.
Chương II
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ
THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ
liệu
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ
liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý
cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa
dữ liệu cá nhân của mình sau khi đã được thu thập, trừ trường hợp luật có quy định
khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của
mình, trừ trường hợp luật có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu
cá nhân của mình, trừ trường hợp luật có quy định khác.
6. Quyền hạn chế xử lý dữ liệu
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ
liệu cá nhân của mình khi nghi ngờ tính chính xác của dữ liệu hoặc dữ liệu
không thể hạn chế xử lý dữ liệu do quy định của luật;
b) Việc hạn chế xử lý dữ liệu được thực hiện
trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá
nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu
cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung
cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định
khác.
8. Quyền phản đối xử lý dữ liệu
a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ
liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của
mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục
đích quảng cáo, tiếp thị;
b) Phản đối của chủ thể dữ liệu vô hiệu khi luật
đã có quy định khác;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau
khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
9. Quyền khiếu nại, tố cáo
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc
khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật
khác có liên quan.
10. Quyền yêu cầu bồi thường thiệt hại theo quy
định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của
mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
11. Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định
của Bộ luật Dân sự, luật khác có liên quan, theo quy định tại Luật này hoặc yêu
cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự
theo quy định tại Điều 11 Bộ luật Dân sự.
Điều 10. Nghĩa vụ của chủ
thể dữ liệu
1. Có trách nhiệm tự bảo vệ dữ liệu cá nhân của
mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của
mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người
khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân
khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ
dữ liệu cá nhân.
5. Chấp hành pháp luật về bảo vệ dữ liệu cá nhân
và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá
nhân.
Chương III
BẢO VỆ DỮ LIỆU CÁ NHÂN
TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ
thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối
với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp
luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực
nếu dựa trên sự tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Không được kèm theo điều kiện bắt buộc phải đồng
ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không
đúng mục đích thu thập. Chủ thể dữ liệu có quyền từ chối điều kiện này.
4. Sự đồng ý của chủ thể dữ liệu phải được đưa
ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng, cụ thể, như: bằng
văn bản, bằng giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn
các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều
này.
5. Sự đồng ý phải được tiến hành cho cùng một mục
đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử
lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc
nhiều mục đích nêu ra.
6. Sự đồng ý của chủ thể dữ liệu phải được thể
hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng
điện tử hoặc định dạng kiểm chứng được.
7. Sự im lặng hoặc không phản hồi của chủ thể dữ
liệu không được coi là sự đồng ý.
8. Chủ thể dữ liệu có thể đồng ý một phần hoặc với
điều kiện kèm theo.
9. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ
thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy
cảm.
10. Sự đồng ý của chủ thể dữ liệu có hiệu lực
cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm
quyền yêu cầu bằng văn bản.
11. Trong trường hợp có tranh chấp, trách nhiệm
chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá
nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
12. Thông qua việc ủy quyền theo quy định của Bộ
luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ
tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ
liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ
liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật
có quy định khác.
Điều 12. Rút lại sự đồng ý
1. Việc rút lại sự đồng ý không ảnh hưởng đến
tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng
ý.
2. Việc rút lại sự đồng ý phải được thể hiện ở một
định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử
hoặc định dạng kiểm chứng được.
3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể
dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân
thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự
đồng ý.
4. Sau khi thực hiện quy định tại khoản 2 Điều
này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu,
Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý
dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
Điều 13. Thông báo xử lý dữ
liệu cá nhân
1. Việc thông báo được thực hiện một (01) lần
trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
2. Nội dung thông báo cho chủ thể dữ liệu về xử
lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên
quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có
liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả
năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ
liệu.
3. Việc thông báo cho chủ thể dữ liệu phải được
thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới
dạng điện tử hoặc định dạng kiểm chứng được.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này
trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ
với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên
Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu
thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Luật này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước
có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định
của pháp luật.
Điều 14. Cung cấp dữ liệu
cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ
liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ
liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân:
a) Được cung cấp dữ liệu cá nhân của chủ thể dữ
liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường
hợp pháp luật có quy định khác;
b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá
nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng
ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ
liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân
thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp
luật có quy định khác.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, tổ
chức, cá nhân mà chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền trong
trường hợp:
a) Gây tổn hại tới quốc phòng, an ninh quốc gia,
trật tự an toàn xã hội;
b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ
liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người
khác;
c) Chủ thể dữ liệu không đồng ý cho tổ chức, cá
nhân mà chủ thể dữ liệu đồng ý cho phép đại và diện ủy quyền được nhận dữ liệu
cá nhân của mình.
5. Hình thức yêu cầu cung cấp dữ liệu cá nhân
a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho
người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ
liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn
tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu
cá nhân.
Trường hợp tổ chức, cá nhân yêu cầu cung cấp
thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp
nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu
yêu cầu cung cấp dữ liệu cá nhân;
b) Gửi Phiếu yêu cầu qua mạng điện tử, dịch vụ
bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu
cá nhân yêu cầu cung cấp dữ liệu cá nhân.
6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải
được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh
nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện
thoại, địa chỉ thư điện tử (nếu có);
b) Dữ liệu cá nhân được yêu cầu cung cấp, trong
đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
c) Hình thức cung cấp dữ liệu cá nhân;
d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá
nhân.
7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân
quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ
chức liên quan.
8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân
a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá
nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu.
b) Trường hợp dữ liệu cá nhân được yêu cầu không
thuộc trách nhiệm cung cấp thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và
xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá
nhân yêu cầu đến cơ quan có trách nhiệm cung cấp dữ liệu cá nhân hoặc thông báo
rõ ràng việc không thể cung cấp dữ liệu cá nhân.
9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân
Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp
lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có
trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức
cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch
vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc
cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
Điều 15. Chỉnh sửa dữ liệu
cá nhân
1. Chủ thể dữ liệu:
a) Được truy cập để xem, chỉnh sửa dữ liệu cá
nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử
lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định
khác.
b) Trường hợp không thể chỉnh sửa trực tiếp vì
lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu
cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của
mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi
được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp
luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ
liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể
dữ liệu.
3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh
sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá
nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng
đã có sự đồng ý của chủ thể dữ liệu.
Điều 16. Lưu trữ, xóa, hủy
dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ
liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của
mình trong các trường hợp sau:
a) Nhận thấy không còn cần thiết cho mục đích
thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ
liệu;
b) Rút lại sự đồng ý;
c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát
dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính
đáng để tiếp tục xử lý;
d) Dữ liệu cá nhân được xử lý không đúng với mục
đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
đ) Dữ liệu cá nhân phải xóa theo quy định của
pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề
nghị của chủ thể dữ liệu trong các trường hợp:
a) Pháp luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước
có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định
của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định
của pháp luật;
d) Dữ liệu cá nhân được xử lý phục vụ mục đích
phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của
pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp
về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa
lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng
nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo
loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến
tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Trường hợp doanh nghiệp chia, tách, sáp nhập,
hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp
luật.
4. Trường hợp chia, tách, sáp nhập cơ quan, tổ
chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở
hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định
của pháp luật.
5. Việc xóa dữ liệu được thực hiện trong 72 giờ
sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm
soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ
trường hợp pháp luật có quy định khác.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu
cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ
liệu cá nhân theo quy định của pháp luật.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể
khôi phục hoặc hủy dữ liệu cá nhân trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã
hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
b) Việc lưu trữ dữ liệu cá nhân không còn cần
thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ
liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc
không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh
theo quy định của pháp luật.
Điều 17. Xử lý dữ liệu cá
nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
1. Để bảo vệ tính mạng, sức khỏe của chủ thể
dữ liệu hoặc người khác trong tình huống khẩn cấp. Bên Kiểm soát dữ liệu
cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân,
Bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Việc công khai dữ liệu cá nhân theo quy định
của luật.
3. Việc xử lý dữ liệu của cơ quan nhà
nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc
phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch
bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến
mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố,
phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Để thực hiện nghĩa vụ theo hợp đồng của chủ
thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
5. Phục vụ hoạt động của cơ quan nhà nước
đã được quy định theo luật chuyên ngành.
Điều 18. Xử lý dữ liệu cá
nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
1. Cơ quan, tổ chức được ghi âm, ghi hình và xử
lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với
mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp
pháp của tổ chức, cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu, trừ
trường hợp pháp luật có quy định khác.
2. Trường hợp ghi âm, ghi hình theo quy định tại
khoản 1 Điều này, cơ quan, tổ chức có trách nhiệm thông báo để người khác hiểu
được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
Điều 19. Xử lý dữ liệu cá
nhân của người bị tuyên bố mất tích, đã chết
1. Việc xử lý dữ liệu cá nhân liên quan đến dữ
liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý
của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người
này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã
chết, trừ trường hợp quy định tại Điều 17 và Điều
18 Luật này.
2. Trường hợp không có tất cả những người được
nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
Điều 20. Xử lý dữ liệu cá
nhân của trẻ em
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực
hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
2. Trước khi xử lý dữ liệu cá nhân của trẻ em,
Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử
lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em và được sự đồng ý
của cha, mẹ hoặc người giám hộ theo quy định.
3. Không xử lý dữ liệu cá nhân của trẻ em mà
không được sự đồng ý của trẻ em từ đủ 7 tuổi trở lên và của cha, mẹ, người giám
hộ của trẻ em, trừ trường hợp quy định tại Điều 17 Nghị định này.
4. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa
không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã
hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường
hợp pháp luật có quy định khác.
b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại
sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật
có quy định khác.
c) Theo yêu cầu của cơ quan chức năng có thẩm
quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới
quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định
khác.
Điều 21. Bảo vệ dữ liệu cá
nhân trong kinh doanh dịch vụ tiếp thị
1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị
chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động
kinh doanh của mình để kinh doanh dịch vụ tiếp thị. Việc thu thập, sử dụng dữ
liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu quy định tại Điều 9 Luật này.
2. Việc xử lý dữ liệu cá nhân của khách hàng để
kinh doanh dịch vụ tiếp thị phải được sự đồng ý của khách hàng, trên cơ sở
khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
3. Việc sử dụng dữ liệu cá nhân để tiếp thị phải
phù hợp với quy định của pháp luật về phòng chống thư rác, sim rác.
4. Chủ thể dữ liệu có quyền yêu cầu ngừng nhận
thông tin từ dịch vụ tiếp thị. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị phải
ngừng ngay lập tức sau khi có yêu cầu của chủ thể dữ liệu.
5. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị
không được thuê hoặc thỏa thuận để một tổ chức khác thực hiện hoặc hỗ trợ việc
thực hiện việc kinh doanh tiếp thị.
6. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị
có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới
thiệu sản phẩm đúng với quy định tại khoản 1, 2, 3, 4, 5 Điều này.
Điều 22. Bảo vệ dữ liệu cá
nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể
1. Việc thu thập dữ liệu thông qua việc theo dõi
website, ứng dụng chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu.
2. Các tổ chức, cá nhân kinh doanh dịch vụ quảng
cáo theo hành vi hoặc có mục tiêu cụ thể phải thiết lập hoạt động cho phép chủ
thể dữ liệu từ chối chia sẻ dữ liệu cho các bối cảnh khác nhau.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị
chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động
kinh doanh của mình để kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục
tiêu cụ thể.
4. Việc thu thập, sử dụng dữ liệu cá nhân phải bảo
đảm quyền của chủ thể dữ liệu quy định tại Điều
9 Luật này.
Điều 23. Bảo vệ dữ liệu cá
nhân trong xử lý dữ liệu lớn
1. Các tổ chức, cá nhân được quyền khai thác dữ
liệu cá nhân trên các nền tảng mà chủ thể dữ liệu công khai thông tin cá nhân
mà không có bất kỳ sự hạn chế nào.
2. Chỉ được sử dụng dữ liệu lớn thu được cho các
hoạt động kinh doanh theo quy định của pháp luật.
3. Các công ty hoạt động với vai trò là Bên xử
lý dữ liệu cá nhân phải được đăng ký và quản lý bởi cơ quan chuyên trách bảo vệ
dữ liệu cá nhân.
Điều 24. Bảo vệ dữ liệu cá
nhân trong trí tuệ nhân tạo
1. Các tổ chức, cá nhân được quyền sử dụng dữ liệu
cá nhân để nghiên cứu, phát triển các thuật toán tự học, trí tuệ nhân tạo và
các hệ thống tự động khác.
2. Thông báo cho chủ thể dữ liệu về việc xử lý dữ
liệu cá nhân tự động, giải thích ảnh hưởng thuận toán, trí tuệ nhân tạo và các
hệ thống tự động đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.
3. Đưa ra các lựa chọn để chủ thể dữ liệu có quyền
không tham gia.
Điều 25. Bảo vệ dữ liệu cá
nhân trong điện toán đám mây
1. Áp dụng các biện pháp kỹ thuật và tổ chức để
tránh dữ liệu bị truy cập trái phép.
2. Các tổ chức, cá nhân ký kết hợp đồng, thỏa
thuận có liên quan tới xử lý dữ liệu cá nhân với các doanh nghiệp cung cấp dịch
vụ điện toán đám mây phải yêu cầu:
a) Nêu rõ trong nội dung hợp đồng, thỏa thuận về
việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; cung
cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý
dữ liệu cá nhân nhạy cảm; chấp hành quy định về việc lập hồ sơ đánh giá tác động
xử lý dữ liệu cá nhân theo quy định của pháp luật;
b) Chỉ xử lý dữ liệu của khách hàng vì lợi ích
và thay mặt cho khách hàng;
c) Có yêu cầu về các biện pháp bảo mật, kỹ thuật,
tổ chức và được nêu rõ trong hợp đồng;
d) Thông báo ngay lập tức bất kỳ sự thay đổi nào
có thể ảnh hưởng tới dữ liệu cá nhân;
đ) Bồi thường thiệt hại (nếu có);
e) Cung cấp các báo cáo kiểm toán hợp lý, xóa
các dữ liệu khách hàng theo yêu cầu;
g) Thực hiện đầy đủ các biện pháp kỹ thuật để bảo
đảm quyền truy cập dữ liệu được phân cấp một cách hợp lý.
3. Các doanh nghiệp cung cấp dịch vụ điện toán
đám mây:
a) Chấp hành các quy định về bảo vệ dữ liệu cá
nhân của Việt Nam, cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá
nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm, chấp hành quy định về việc
lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của pháp luật;
b) Đề nghị các nhà thầu phụ thực hiện các quy định
và nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
c) Áp dụng các biện pháp kỹ thuật và tổ chức ở mức
phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của mình.
Điều 26. Bảo vệ dữ liệu cá
nhân trong giám sát và tuyển dụng lao động
1. Chỉ được yêu cầu cung cấp các thông tin trong
danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động.
2. Các thông tin được cung cấp trong hồ sơ người
lao động được xử lý theo quy định của pháp luật và phải được sự đồng ý của chủ
thể dữ liệu.
3. Hồ sơ người lao động được lưu trữ có thời hạn
theo quy định của pháp luật và phải được xóa khi không còn yêu cầu hoặc kết
thúc thời gian theo quy định.
4. Khi dữ liệu cá nhân của người lao động được cập
nhật lên hệ thống sở dữ liệu người lao động toàn cầu:
a) Pháp nhân thu thập và xử lý dữ liệu cá nhân
phải chứng minh được việc thu thập và xử lý dữ liệu là hợp pháp;
b) Chủ thể dữ liệu chịu trách nhiệm về tính hợp
pháp của thông tin do mình cung cấp.
5. Các công ty nước ngoài tuyển dụng và xử lý dữ
liệu cá nhân của nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh
thổ Việt Nam:
a) Tuân thủ quy định của pháp luật về bảo vệ dữ
liệu cá nhân theo quy định của pháp luật Việt Nam;
b) Có văn bản, thỏa thuận, hợp đồng với công ty
đầu tư tại Việt Nam về việc xử lý dữ liệu cá nhân của người lao động;
c) Cung cấp cho công ty đầu tư tại Việt Nam bản
sao dữ liệu về nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh
thổ Việt Nam để tuân thủ các quy định của pháp luật khi cần thiết.
6. Việc xử lý dữ liệu cá nhân áp dụng các biện
pháp công nghệ, kỹ thuật giám sát người lao động là nhân viên công ty:
a) Áp dụng các biện pháp quản lý phù hợp với quy
định của pháp luật và bảo đảm quyền và lợi ích của chủ thể dữ liệu, trên cơ sở
nhân viên công ty biết rõ và đồng ý với việc giám sát;
b) Nêu rõ thông tin về biện pháp, công nghệ, nội
dung giám sát người lao động trong hồ sơ đánh giá tác động xử lý dữ liệu cá
nhân;
c) Cam kết không sử dụng các công nghệ, giải
pháp kỹ thuật và giám sát những nội dung pháp luật không cho phép.
Điều 27. Bảo vệ dữ liệu cá
nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng
1. Các công ty tài chính, ngân hàng, tín dụng:
a) Không được mua, bán thông tin tín dụng hoặc
chuyển giao trái phép thông tin tín dụng giữa các tổ chức tài chính, tín dụng,
thông tin tín dụng;
b) Không được gửi, truyền bản rõ dữ liệu về tài
chính, tín dụng của chủ thể dữ liệu giữa các tổ chức tài chính, tín dụng, thông
tin tín dụng;
c) Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá
nhân nhạy cảm, các tiêu chuẩn bảo mật về thanh toán, tín dụng theo quy định của
pháp luật;
d) Không được sử dụng thông tin tín dụng của chủ
thể dữ liệu để chấm điểm tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ
thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu;
đ) Kết quả đánh giá thông tin tín dụng của chủ
thể dữ liệu chỉ được dưới dạng Đạt hoặc Không Đạt, Có hoặc Không, Đúng hoặc
Sai, hoặc thang điểm trên cơ sở dữ liệu mà các tổ chức tài chính, ngân hàng,
tín dụng, thông tin tín dụng thu thập trực tiếp từ khách hàng;
e) Xác định và tuyên bố rõ ràng về các khâu đoạn
cần áp dụng biện pháp khử nhận dạng dữ liệu cá nhân;
g) Phải thông báo cho chủ thể dữ liệu về các sự
cố và việc mất các thông tin về tài khoản tài chính.
2. Các tổ chức kinh doanh dịch vụ thông tin tín
dụng, ngân hàng, bảo hiểm, tài chính, trung gian thanh toán không được cung cấp,
chuyển giao trái phép dữ liệu cá nhân cho nhau và với các tổ chức doanh nghiệp
khác, trừ trường hợp được luật cho phép.
3. Chỉ được cung cấp thông tin tín dụng, sản phẩm
thông tin tín dụng của chủ thể dữ liệu cho các tổ chức, cá nhân là các tổ chức
tài chính, ngân hàng, tín dụng khi có quy định của luật.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
là đầu mối yêu cầu cung cấp thông tin tín dụng phục vụ điều tra, xử lý hành vi
vi phạm pháp luật theo quy định.
Điều 28. Bảo vệ dữ liệu cá
nhân có liên quan tới thông tin sức khỏe, bảo hiểm
1. Bắt buộc phải có sự đồng ý của chủ thể dữ liệu
trong quá trình thu thập, xử lý dữ liệu.
2. Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá
nhân nhạy cảm, các quy định khác về bảo vệ sức khỏe theo quy định của pháp luật.
3. Các tổ chức, cá nhân hoạt động trong lĩnh vực
sức khỏe không cung cấp dữ liệu cá nhân cho các tổ chức cung cấp dịch vụ chăm
sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, trừ khi có yêu cầu bằng văn bản của
chủ thể dữ liệu.
4. Áp dụng các biện pháp quản lý để giảm thiểu
thu thập, xử lý lượng dữ liệu cá nhân liên quan tới sức khỏe.
5. Các nhà phát triển phải tuân thủ đầy đủ quy định
về bảo vệ dữ liệu cá nhân, trách nhiệm nghề nghiệp, tiêu chuẩn đạo đức và quy định
về sản phẩm y tế khi xử lý dữ liệu cá nhân.
6. Trường hợp doanh nghiệp nhượng tái bảo hiểm
và có chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với
khách hàng.
Điều 29. Ký kết hợp đồng,
thỏa thuận với chủ thể dữ liệu
1. Các hợp đồng, thỏa thuận với chủ thể dữ liệu
phải có nội dung liên quan tới bảo vệ dữ liệu cá nhân. Trong đó, nêu rõ trách
nhiệm, quyền lợi và nghĩa vụ phải tuân thủ của các bên tham gia.
2. Nêu rõ nội dung trường hợp áp dụng các công
nghệ, biện pháp giám sát người lao động và yêu cầu sự đồng ý.
Điều 30. Dữ liệu vị trí
1. Không áp dụng việc theo dõi định vị qua thẻ
nhận dạng tần số vô tuyến (RFID) và các công nghệ khác trừ khi có sự đồng
ý rõ ràng của chủ thể dữ liệu hoặc khi có yêu cầu pháp luật.
2. Các nền tảng ứng dụng di động cần có sự thông
báo rõ ràng với khách hàng và người sử dụng về việc sử dụng dữ liệu vị trí và
có biện pháp ngăn chặn việc thu thập dữ liệu vị trí của các tổ chức, cá nhân
không liên quan.
3. Áp dụng đầy đủ quy định bảo vệ dữ liệu cá
nhân đối với các hoạt động quảng cáo dựa trên hành vi và vị trí của người dùng.
Điều 31. Mạng xã hội, dịch
vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng
1. Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội,
dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian
mạng (OTT) có trách nhiệm:
a) Bảo vệ dữ liệu cá nhân của công dân Việt Nam
khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động
cung cấp cho thị trường Việt Nam.
b) Thông báo rõ ràng nội dung dữ liệu cá nhân
thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ OTT. Không
thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách
hàng.
c) Không được yêu cầu chụp ảnh căn cước công
dân, chứng minh nhân dân làm yếu tố xác thực tài khoản.
d) Cung cấp lựa chọn cho phép người dùng từ chối
thu thập cookies và chia sẻ cookies.
đ) Cung cấp lựa chọn “không theo dõi” hoặc chỉ
được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ OTT khi có sự đồng ý của
người sử dụng.
e) Thông báo cụ thể, rõ ràng, bằng văn bản về việc
chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động
quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng.
g) Nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc
tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu là hành vi vi phạm
pháp luật.
2. Dữ liệu cá nhân đăng ký tài khoản mạng xã hội,
dịch vụ OTT không phải là dữ liệu công khai và không thuộc trường hợp được xử
lý mà không cần có sự đồng ý của chủ thể dữ liệu.
Điều 32. Dữ liệu sinh trắc
học
1. Các tổ chức, cá nhân thu thập và xử lý dữ liệu
sinh trắc học áp dụng đầy đủ quy định về bảo vệ liệu cá nhân theo quy định của
pháp luật.
2. Thông báo rõ ràng về hậu quả, rủi ro tiềm ẩn
khi thu thập, xử lý dữ liệu sinh trắc của chủ thể dữ liệu.
Điều 33. Phòng, chống thu
thập, chuyển giao trái phép, mua, bán dữ liệu cá nhân
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu
cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng
thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của
mình.
2. Việc thiết lập các hệ thống phần mềm, biện
pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán
dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
3. Việc cho phép các tổ chức, cá nhân sử dụng dịch
vụ của mình để mua bán dữ liệu cá nhân là vi phạm pháp luật.
Điều 34. Thông báo vi phạm
quy định về bảo vệ dữ liệu cá nhân
1. Trường hợp phát hiện xảy ra vi phạm quy định
bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ
liệu cá nhân thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất
72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải
kèm theo lý do trì hoãn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho
Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự
vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ
dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo
vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân,
các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm
vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá
nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của
việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết,
giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Trường hợp không thể thông báo đầy đủ các nội
dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng
đợt, từng giai đoạn.
5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi
phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Cơ quan chuyên trách bảo vệ
dữ liệu cá nhân xử lý hành vi vi phạm.
6. Tổ chức, cá nhân thông báo cho Cơ quan chuyên
trách bảo vệ dữ liệu cá nhân khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ
liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không
đúng thỏa thuận ban đầu giữa Chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân,
Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc
không được thực hiện đúng;
d) Đề nghị xem xét lại tính hợp pháp của quyết định
hành chính, xử lý hành chính, xử lý kỷ luật;
đ) Trường hợp khác theo quy định của pháp luật.
Chương IV
SỬ DỤNG DỮ LIỆU CÁ NHÂN
TRONG HOẠT ĐỘNG KINH DOANH
Điều 35. Sử dụng dữ liệu cá
nhân trong hoạt động kinh doanh
1. Dữ liệu cá nhân được sử dụng vào hoạt động
kinh doanh khi bảo đảm đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Việc kinh doanh dữ liệu cá nhân phải phù hợp
với ngành nghề kinh doanh đã đăng ký và phù hợp với mục đích xử lý dữ liệu đã
cam kết, ký kết với chủ thể dữ liệu.
4. Chỉ cơ quan nhà nước có thẩm quyền được pháp
luật cho phép mới được đánh giá xếp hạng công dân dựa trên dữ liệu cá nhân nhằm
bảo đảm quyền con người được Hiến pháp ghi nhận.
Điều 36. Tổ chức bảo vệ dữ
liệu cá nhân
1. Tổ chức bảo vệ dữ liệu cá nhân, gồm:
a) Tổ chức đủ năng lực công nghệ và pháp lý về bảo
vệ dữ liệu cá nhân;
b) Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu
cá nhân;
c) Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu
cá nhân.
2. Tổ chức đủ năng lực công nghệ và pháp lý về bảo
vệ dữ liệu cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận
đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ
điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và 01 chuyên gia đạt Giấy
chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc
tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh
doanh về công nghệ và pháp lý.
3. Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu
cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận
đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc
tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh
doanh về công nghệ.
4. Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu
cá nhân:
a) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận
đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân;
b) Là một đơn vị thuộc tổ chức, doanh nghiệp hoặc
tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc nghành nghề, lĩnh vực kinh
doanh về pháp lý.
5. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ,
doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định
về Tổ chức bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập
doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp
nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt
động xử lý dữ liệu cá nhân.
Điều 37. Kinh doanh dịch vụ
Tổ chức bảo vệ dữ liệu cá nhân
1. Điều kiện kinh doanh dịch vụ Tổ chức bảo vệ dữ
liệu cá nhân:
a) Là tổ chức, doanh nghiệp có chức năng, nhiệm
vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về
công nghệ, pháp lý.
b) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận
đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ
điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và có tối thiểu 01 chuyên gia
đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá
nhân tối thiểu ở mức Đạt.
2. Hồ sơ phê duyệt kinh doanh dịch vụ Tổ chức bảo
vệ dữ liệu cá nhân, bao gồm:
a) Đơn đề nghị kinh doanh dịch vụ Tổ chức bảo vệ
dữ liệu cá nhân;
b) Giấy tờ chứng minh tư cách pháp lý của tổ chức
đề nghị: Bản sao chứng Quyết định thành lập hoặc các tài liệu tương đương khác;
c) Giấy tờ chứng minh đủ năng lực hoạt động về
năng lực về công nghệ và pháp lý;
d) Giấy chứng nhận xếp hạng tín nhiệm về bảo vệ
dữ liệu cá nhân tối thiểu ở mức Đạt.
2. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân thẩm định, phê duyệt Hồ sơ đề nghị kinh doanh Tổ chức bảo vệ dữ liệu cá
nhân.
3. Thủ tục phê duyệt Hồ sơ đề nghị kinh doanh Tổ
chức bảo vệ dữ liệu cá nhân:
a) Các tổ chức có nhu cầu gửi 01 bộ hồ sơ theo
quy định tại Khoản 2 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên
trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn
07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được
nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày
nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục
kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách
bảo vệ dữ liệu cá nhân ban hành Quyết định phê duyệt hồ sơ đề nghị kinh doanh Tổ
chức bảo vệ dữ liệu cá nhân.
4. Thời hạn của Quyết định phê duyệt là 05 năm kể
từ ngày ký ban hành. Hết thời hạn, Tổ chức bảo vệ dữ liệu cá nhân tiếp tục đề
nghị cơ quan chuyên trách bảo vệ dữ liệu cá nhân để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Giấy tờ chứng minh đủ năng lực hoạt động về
năng lực về công nghệ và pháp lý.
5. Đình chỉ hoặc chấm dứt hoạt động của Tổ chức
bảo vệ dữ liệu cá nhân theo một trong các trường hợp sau:
a) Khi không bảo đảm một trong các điều kiện tại
Khoản 2 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt
hoạt động;
c) Trong 24 tháng không thực hiện hoạt động kinh
doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân;
d) Quá trình hoạt động, phát hiện hành vi sai phạm
và không bảo đảm năng lực của Tổ chức bảo vệ dữ liệu cá nhân.
Điều 38. Chuyên gia bảo vệ
dữ liệu cá nhân
1. Chuyên gia bảo vệ dữ liệu cá nhân, gồm:
a) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực
công nghệ và pháp lý;
b) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực
về công nghệ;
c) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực
về pháp lý.
2. Điều kiện cấp Giấy chứng nhận đối với chuyên
gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ và pháp lý:
a) Có văn bằng trình độ cao đẳng trở lên về bảo
mật, an toàn thông tin, an ninh mạng;
b) Có văn bằng trình độ cao đẳng trở lên về
pháp luật;
c) Đã hoàn thành khóa học Chứng nhận đủ điều kiện
năng lực pháp lý và công nghệ về bảo vệ dữ liệu cá nhân.
3. Điều kiện cấp Giấy chứng nhận đối với cá nhân
bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý:
a) Có văn bằng trình độ cao đẳng trở lên về
pháp luật;
b) Đã hoàn thành khóa học chứng nhận đủ điều kiện
về năng lực pháp lý bảo vệ dữ liệu cá nhân.
4. Điều kiện cấp Giấy chứng nhận đối với cá nhân
bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ:
a) Có văn bằng trình độ cao đẳng trở lên về
bảo mật, an toàn thông tin, an ninh mạng;
b) Đã hoàn thành khóa học chứng nhận đủ điều kiện
năng lực công nghệ về bảo vệ dữ liệu cá nhân.
5. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ,
doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định
về Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành
lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp
nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt
động xử lý dữ liệu cá nhân.
Điều 39. Chứng nhận đủ điều
kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân
1. Chứng nhận đủ điều kiện năng lực công nghệ và
pháp lý về bảo vệ dữ liệu cá nhân là việc Tổ chức chứng nhận đủ điều kiện về bảo
vệ dữ liệu cá nhân cấp Giấy chứng nhận đủ điều kiện năng lực công nghệ và pháp
lý cho chuyên gia về bảo vệ dữ liệu cá nhân.
2. Giấy chứng nhận đủ điều kiện năng lực công
nghệ và pháp lý về bảo vệ dữ liệu cá nhân, bao gồm:
a) Giấy chứng nhận đủ điều kiện năng lực công
nghệ và pháp lý về bảo vệ dữ liệu cá nhân;
b) Giấy chứng nhận đủ điều kiện về năng lực công
nghệ bảo vệ dữ liệu cá nhân;
c) Giấy chứng nhận đủ điều kiện về năng lực pháp
lý bảo vệ dữ liệu cá nhân.
3. Giấy chứng nhận đủ điều kiện năng về bảo vệ dữ
liệu cá nhân do Các Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân cấp.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân.
Điều 40. Phê duyệt Tổ chức
chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân
1. Hồ sơ phê duyệt Tổ chức chứng nhận đủ điều kiện
về bảo vệ dữ liệu cá nhân, bao gồm:
a) Đơn đề nghị phê duyệt Tổ chức chứng nhận đủ
điều kiện về bảo vệ dữ liệu cá nhân.
b) Giấy tờ chứng minh tư cách pháp lý của tổ chức
đề nghị: Bản sao chứng Quyết định thành lập hoặc các tài liệu tương đương khác.
c) Giấy tờ chứng minh đủ năng lực hoạt động về
năng lực về công nghệ và pháp lý.
d) Đề án đề nghị phê duyệt Tổ chức chứng nhận đủ
điều kiện về bảo vệ dữ liệu cá nhân, gồm các nội dung: Sự cần thiết, mục tiêu;
Nội dung đề nghị phê duyệt; Lĩnh vực đề nghị phê duyệt; Ngành nghề, lĩnh vực
kinh doanh; Cơ sở vật chất, thiết bị; Chương trình và nội dung chứng nhận; Đối
tượng chứng nhận; Tiêu chí chứng nhận; Hình thức tổ chức kiểm tra, đánh giá, chứng
nhận; Danh sách người thực hiện tổ chức chứng nhận; Các văn bằng, chứng chỉ của
người thực hiện tổ chức chứng nhận; Dự kiến kinh phí hoạt động; Trách nhiệm và
quyền hạn của các bên.
2. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân thẩm định Hồ sơ đề nghị phê duyệt Tổ chức chứng nhận đủ điều kiện về bảo
vệ dữ liệu cá nhân.
3. Thủ tục phê duyệt Hồ sơ đề nghị phê duyệt Tổ
chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân:
a) Các tổ chức có nhu cầu gửi 01 bộ hồ sơ theo
quy định tại Khoản 1 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan chuyên
trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn
07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được
nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày
nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục
kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách
bảo vệ dữ liệu cá nhân ban hành Quyết định phê duyệt Tổ chức chứng nhận đủ điều
kiện về bảo vệ dữ liệu cá nhân.
4. Thời hạn của Quyết định phê duyệt là 05 năm kể
từ ngày ký ban hành. Hết thời hạn, Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ
liệu cá nhân để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Biên bản kiểm tra, xác minh đủ điều kiện năng
lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.
5. Đình chỉ hoặc chấm dứt hoạt động của Tổ chức
chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân theo một trong các trường hợp
sau:
a) Khi không bảo đảm một trong các điều kiện tại
Khoản 4 và Khoản 6 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt
hoạt động;
c) Trong 24 tháng không thực hiện/ hoạt động chứng
nhận đủ điều kiện về bảo vệ dữ liệu cá nhân;
d) Cấp Giấy Chứng nhận đủ điều kiện năng lực
công nghệ và pháp lý về bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân không đủ
điều kiện theo quy định.
Điều 41. Xếp hạng tín nhiệm
bảo vệ dữ liệu cá nhân
1. Các mức độ xếp hạng tín nhiệm bảo vệ dữ liệu
cá nhân:
a) Tín nhiệm cao;
b) Tín nhiệm;
c) Đạt;
d) Không đạt.
2. Loại hình doanh nghiệp được kinh doanh dịch vụ
xếp hạng tín nhiệm:
a) Công ty trách nhiệm hữu hạn;
b) Công ty cổ phần;
c) Công ty hợp danh.
3. Phương pháp xếp hạng tín nhiệm
bảo vệ dữ liệu cá nhân:
a) Tổ chức xếp hạng tín nhiệm bảo
vệ dữ liệu cá nhân phải xây dựng phương pháp xếp hạng tín nhiệm để phân tích,
đánh giá được khả năng thực hiện đầy đủ, đúng quy định của pháp luật về hoạt động
bảo vệ dữ liệu cá nhân của doanh nghiệp khác;
b) Phương pháp xếp hạng tín nhiệm
phải đánh giá được các yếu tố rủi ro và mức độ ảnh hưởng đến khả năng thực hiện
đầy đủ, đúng nghĩa vụ về bảo vệ dữ liệu cá nhân, gồm các nội dung cơ bản:
- Rủi ro vĩ mô;
- Rủi ro thị trường và môi trường
kinh doanh;
- Rủi ro công nghệ, kỹ thuật;
- Rủi ro chiến lược;
- Rủi ro quản trị;
- Rủi ro nhân sự;
- Rủi ro tài chính;
- Các rủi ro khác theo đánh giá của
doanh nghiệp xếp hạng tín nhiệm.
3. Việc xếp hạng
đánh giá tín nhiệm bảo vệ dữ liệu cá nhân phải được thực hiện bởi chuyên viên
phân tích tín nhiệm. Chuyên viên phân tích tín nhiệm tham gia vào từng hợp đồng xếp hạng tín nhiệm phải bảo đảm
các yêu cầu cơ bản sau:
a) Có tối thiểu
01 năm hoạt động trên lĩnh vực bảo vệ dữ liệu cá nhân.b) Có
ít nhất 2 năm làm việc trực tiếp trong lĩnh vực bảo mật, an toàn thông tin, an
ninh mạng hoặc trong lĩnh vực pháp ;
b) Không tham
gia hoạt động điều hành doanh nghiệp xếp hạng tín nhiệm;
c) Không đồng
thời là thành viên Hội đồng xếp hạng tín nhiệm của cùng hợp đồng xếp hạng tín
nhiệm đó.
5. Nhiệm vụ của chuyên viên phân
tích tín nhiệm:
a) Thu thập thông tin, phân tích,
nhận định, xếp hạng về khả năng thực hiện đầy đủ, đúng quy định của tổ chức được
xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân theo phân công của doanh nghiệp xếp hạng
tín nhiệm;
b) Báo cáo kết quả xếp hạng tín
nhiệm dự kiến lên Hội đồng xếp hạng tín nhiệm theo phân công của doanh nghiệp xếp
hạng tín nhiệm;
c) Báo cáo Hội đồng xếp hạng tín
nhiệm và đề nghị chấm dứt tham gia vào hợp đồng xếp hạng tín nhiệm trong trường
hợp xảy ra xung đột lợi ích theo quy định tại khoảnĐiều này;
6. Các doanh nghiệp không đăng ký
kinh doanh dịch vụ xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân thì không được
sử dụng cụm từ “xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân” hoặc các cụm từ khác
có ý nghĩa tương tự.
7. Thủ trưởng Cơ quan chuyên trách
bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
Điều 42. Giấy chứng nhận đủ
điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
1. Điều kiện cấp Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Giấy tờ chứng minh đủ năng lực hoạt động về
năng lực về công nghệ và pháp lý;
b) Có vốn pháp định doanh nghiệp
là từ 05 (năm) tỷ đồng trở lên;
c) Có tối thiểu 01 năm hoạt động
trên lĩnh vực bảo vệ dữ liệu cá ;
d) Có tối thiểu 03 nhân sự đáp ứng được yêu cầu trở thành chuyên viên phân tích tín nhiệm.
đ) Có Đề án đề nghị cấp Giấy chứng
nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
2. Đề án đề nghị cấp Giấy chứng nhận
đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân, gồm
các nội dung:
a) Sự cần thiết, mục tiêu;
b) Nội dung đề nghị phê duyệt;
c) Lĩnh vực đề nghị phê duyệt;
d) Ngành nghề, lĩnh vực kinh doanh;
đ) Cơ sở vật chất, thiết bị;
e) Chương trình và nội dung chứng nhận;
g) Đối tượng chứng nhận;
h) Tiêu chí chứng nhận;
i) Hình thức tổ chức kiểm tra, đánh giá, chứng
nhận;
k) Danh sách người thực hiện tổ chức chứng nhận;
l) Các văn bằng, chứng chỉ của người thực hiện tổ
chức chứng nhận;
m) Dự kiến kinh phí hoạt động;
n) Trách nhiệm và quyền hạn của các bên.
3. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ
xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân với các doanh nghiệp đủ điều kiện.
4. Thủ tục cấp Giấy chứng nhận đủ điều kiện kinh
doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Các doanh nghiệp có nhu cầu gửi 01 bộ hồ sơ
theo quy định tại Khoản 1 Điều này trực tiếp hoặc qua bưu điện đến Cơ quan
chuyên trách bảo vệ dữ liệu cá nhân;
b) Trường hợp Hồ sơ không đầy đủ, trong thời hạn
07 ngày làm việc kể từ ngày nhận được hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân có văn bản đề nghị gửi trả kết quả theo bưu điện hoặc thư điện tử được
nêu trong hồ sơ.
c) Trong thời gian 20 ngày làm việc kể từ ngày
nhận đủ hồ sơ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiến hành các thủ tục
kiểm tra, xác minh theo quy định.
d) Trường hợp đủ điều kiện, Cơ quan chuyên trách
bảo vệ dữ liệu cá nhân ban hành Quyết định cấp Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
5. Thời hạn của Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân là 05 năm. Hết thời
hạn, doanh nghiệp có thể đăng ký gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Giấy tờ chứng minh đủ năng lực hoạt động về
năng lực về công nghệ và pháp lý.
6. Thu hồi Giấy chứng nhận đủ điều kiện kinh
doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Khi không bảo đảm một trong các điều kiện tại
Khoản 1 Điều này;
b) Chủ động đề nghị xin đình chỉ hoặc chấm dứt
hoạt động;
c) Trong 24 tháng không tổ chức xếp hạng tín nhiệm
bảo vệ dữ liệu cá nhân;
d) Có sai phạm trong Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân đến mức phải thu hồi.
Điều 43. Dịch vụ xử lý dữ
liệu cá nhân và Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu
cá nhân
1. Dịch vụ xử lý dữ liệu cá nhân gồm:
a) Dịch vụ thông tin tín dụng;
b) Các dịch vụ của Bên Xử lý dữ liệu cá nhân
thay mặt cho Bên Kiểm soát, Bên Kiểm soát và Xử lý dữ liệu cá nhân;
c) Dịch vụ đánh giá khả tín dựa trên dữ liệu cá
nhân;2. Điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân:
a) Là tổ chức, doanh nghiệp có chức năng, nhiệm
vụ hoặc nghành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về
công nghệ, pháp lý có liên quan tới xử lý dữ liệu cá nhân;
b) Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận
đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân
hoặc;
Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ
điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và có tối thiểu 01 chuyên
gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá
nhân;
c) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá
nhân tối thiểu ở mức Đạt.
3. Hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm:
a) Đơn đề nghị cấp Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xử lý dữ liệu cá nhân;
b) Bản sao chứng thực Giấy chứng nhận đăng ký
danh nghiệp;
c) Văn bản chứng nhận đủ năng lực hoạt động về
năng lực về công nghệ và pháp lý;
d) Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện
kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm các nội dung: Sự cần thiết, mục
tiêu; Nội dung đề nghị phê duyệt; Lĩnh vực đề nghị phê duyệt; Ngành nghề, lĩnh
vực kinh doanh; Cơ sở vật chất, thiết bị; Phương án kinh doanh; Dự kiến kinh
phí hoạt động; Trách nhiệm và quyền hạn của doanh nghiệp trong xử lý dữ liệu cá
nhân.
đ) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá
nhân tối thiểu ở mức Đạt.
4. Trong thời gian 30 ngày làm việc, Thủ trưởng
Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, xem xét, phê duyệt Hồ sơ
đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá
nhân. Trường hợp từ chối, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông báo
bằng văn bản cho doanh nghiệp và nêu rõ lý do.
5. Thời hạn của Quyết định phê duyệt là 05 năm kể
từ ngày ký ban hành. Hết thời hạn, doanh nghiệp làm hồ sơ để được gia hạn.
Hồ sơ, thủ tục gia hạn gồm:
a) Đơn đề nghị gia hạn;
b) Biên bản kiểm tra, xác minh đủ điều kiện năng
lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân trước thời điểm đề nghị gia
hạn không quá 06 tháng;
c) Đã được xếp hạng tín nhiệm về bảo vệ dữ liệu
cá nhân tối thiểu ở mức Đạt trước thời điểm đề nghị gia hạn không quá 06 tháng.
5. Thu hồi Giấy chứng nhận đủ điều kiện kinh
doanh dịch vụ xử lý dữ liệu cá nhân:
a) Khi không bảo đảm một trong các điều kiện tại
Khoản 1, 2 Điều này;
b) Có mức độ xếp hạng tín nhiệm về bảo vệ dữ liệu
cá nhân được đánh giá là Không đạt.
Điều 44. Đánh giá tác động
xử lý dữ liệu cá nhân
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu
cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của
Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm
soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân
và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm
tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước
ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự
kiến để xoá, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân
được áp dụng;
i) Mô tả và đánh giá hiện trạng tuân thủ quy định
của pháp luật về bảo vệ dữ liệu cá nhân;
k) Đánh giá mức độ ảnh hưởng của việc xử lý dữ
liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện
pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
l) Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu
cá nhân.
2. Bên Xử lý dữ liệu cá nhân tiến hành lập và
lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện thay mặt
cho Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá
nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý
dữ liệu cá nhân;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân
và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu
cá nhân được xử lý thay mặt cho Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự
kiến để xoá, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước
ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu
cá nhân được áp dụng;
g) Mô tả và đánh giá hiện trạng tuân thủ quy định
của pháp luật về bảo vệ dữ liệu cá nhân;
i) Hậu quả, thiệt hại không mong muốn có khả
năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
k) Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu
cá nhân.
3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị
pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá
nhân hoặc Bên Xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên
trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
01 bản chính trong thời gian 60 ngày làm việc kể từ ngày tiến hành xử lý dữ liệu
cá nhân.
5. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu
cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ
liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ
đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã
gửi cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 45. Chuyển dữ liệu cá
nhân ra nước ngoài
1. Các trường hợp chuyển dữ liệu cá nhân ra nước
ngoài:
a) Chia sẻ dữ liệu cá nhân với người nhận ở
ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam;
b) Chia sẻ dữ liệu cá nhân tại một hội nghị, hội
thảo, các cuộc họp, thảo luận ở nước ngoài;
c) Gửi tài liệu hoặc email chứa dữ liệu cá nhân
cho người nhận ở với người nhận ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt
Nam;
d) Công bố dữ liệu cá nhân trên không gian mạng
khiến người ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam nhận được;
đ) Cung cấp dữ liệu cá nhân cho tổ chức, doanh
nghiệp, cá nhân khác để thục hiện hoạt động kinh doanh;
e) Cung cấp dữ liệu cá nhân thực hiện nghĩa vụ
pháp lý ở nước ngoài hoặc theo pháp luật của quốc gia sở tại.
2. Bên chuyển dữ liệu ra nước ngoài là tổ chức,
cá nhân thực hiện các hoạt động nêu tại Khoản 1 Điều này phải lập Hồ sơ đánh
giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
3. Hồ sơ đánh giá tác động chuyển dữ liệu cá
nhân ra nước ngoài, gồm:
a) Thông tin và chi tiết liên lạc của Bên chuyển
dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
b) Thông tin về Tổ chức bảo vệ dữ liệu cá nhân
và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Mô tả và luận giải mục tiêu của các hoạt động
xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển
ra nước ngoài;
đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ
liệu cá nhân tại Luật này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được
áp dụng;
e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ
liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện
pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g) Sự đồng ý của chủ thể dữ liệu theo quy định tại
Điều 11 Luật này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc
yêu cầu phát sinh;
h) Có văn bản thể hiện sự ràng buộc, trách nhiệm
giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam
về việc xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động chuyển dữ liệu cá
nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của
Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ
dữ liệu cá nhân 01 bản chính trong thời gian 60 ngày kể từ ngày tiến hành xử lý
dữ liệu cá nhân.
5. Bên chuyển dữ liệu thông báo cho gửi Cơ quan
chuyên trách bảo vệ dữ liệu cá nhân thông tin về việc chuyển dữ liệu và chi tiết
liên lạc của tổ chức, cá nhân phụ trách sau khi việc chuyển dữ liệu diễn ra thành
công.
6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu
cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động chuyển dữ
liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát
và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ
đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội
dung hồ sơ đã gửi cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
8. Căn cứ tình hình cụ thể, Cơ quan chuyên trách
bảo vệ dữ liệu cá nhân quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước
ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật
về bảo vệ dữ liệu cá nhân tại Luật này hoặc để xảy ra sự cố lộ, mất dữ liệu cá
nhân của công dân Việt Nam.
9. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
quyết định yêu cầu ngừng chuyển dữ liệu ra nước ngoài của tổ chức, doanh nghiệp,
cá nhân khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi
phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam.
Điều 46. Cập nhật hồ sơ
đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu
cá nhân ra nước ngoài
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được cập nhật định
kỳ 06 tháng một (01) lần khi có sự thay đổi.
2. Các trường hợp thay đổi cần cập nhật ngay, gồm:
a) Khi công ty giải thể, sáp nhập;
b) Khi có sự thay đổi thông tin về Tổ chức bảo vệ
dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Khi phát sinh ngành nghề, dịch vụ kinh doanh
mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan tới dữ liệu cá nhân
đã đăng ký trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá
tác động chuyển dữ liệu cá nhân ra nước ngoài.
3. Việc cập nhật Hồ sơ đánh giá tác động xử lý dữ
liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được
thực hiện trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, gửi qua bưu
chính hoặc trực tiếp tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Chương V
BIỆN PHÁP, ĐIỀU KIỆN BẢO
ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 47. Biện pháp bảo vệ dữ
liệu cá nhân
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng
ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
a) Biện pháp quản lý do tổ chức, cá nhân có liên
quan tới xử lý dữ liệu cá nhân thực hiện;
b) Biện pháp kỹ thuật do tổ chức, cá nhân có
liên quan tới xử lý dữ liệu cá nhân thực hiện;
c) Biện pháp do cơ quan quản lý nhà nước có thẩm
quyền thực hiện theo quy định của Nghị định này và pháp luật có liên
quan;
d) Biện pháp điều tra, tố tụng do cơ quan nhà nước
có thẩm quyền thực hiện;
đ) Các biện pháp khác theo quy định của pháp
luật.
Điều 48. Bảo vệ dữ liệu cá
nhân cơ bản
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 47 Luật này.
2. Xây dựng, ban hành các quy định về bảo vệ dữ
liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Luật này.
3. Chỉ định Tổ chức bảo vệ dữ liệu cá nhân,
Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên
trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm
soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì
trao đổi thông tin của cá nhân thực hiện.
4. Kiểm tra an ninh mạng đối với hệ thống và
phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không
thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân.
Điều 49. Bảo vệ dữ liệu cá
nhân nhạy cảm
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 47 và Điều 48 Luật này.
2. Chỉ định Tổ chức bảo vệ dữ liệu cá nhân,
Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên
trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm
soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì
trao đổi thông tin của cá nhân thực hiện.
3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ
liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý
dữ liệu cá nhân.
4. Thông báo cho chủ thể dữ liệu biết việc dữ liệu
cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định
tại khoản 4 Điều 13, Điều 17 và Điều 18
Luật này.
5. Đánh giá tín nhiệm về bảo vệ dữ liệu cá nhân.
Điều 50. Cơ quan chuyên
trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá
nhân
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
có trách nhiệm giúp Bộ Công an thực quản lý nhà nước về bảo vệ dữ liệu cá
nhân.
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá
nhân:
a) Cung cấp thông tin về chủ trương, đường lối,
chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
b) Tuyên truyền, phổ biến, chính sách, pháp luật
về bảo vệ dữ liệu cá nhân;
c) Cập nhật thông tin, tình hình bảo vệ dữ liệu
cá nhân;
d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động
bảo vệ dữ liệu cá nhân qua không gian mạng;
đ) Cung cấp thông tin về kết quả đánh giá công
tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
e) Tiếp nhận thông báo vi phạm quy định về bảo vệ
dữ liệu cá nhân;
g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành
vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo
quy định của pháp luật;
i) Thực hiện hoạt động khác theo quy định của
pháp luật về bảo vệ dữ liệu cá nhân.
3. Bộ Công an chủ trì xây dựng, quản lý, vận
hành; Bộ Tài chính bảo đảm kinh phí xây dựng, quản lý và vận hành Cổng thông
tin quốc gia về bảo vệ dữ liệu cá nhân.
Điều 51. Lực lượng bảo vệ dữ
liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân
được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu
cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện
quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức, cá nhân được huy động tham gia bảo vệ
dữ liệu cá nhân;
d) Bộ Công an xây dựng chương trình, kế hoạch cụ
thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm
tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá
nhân cho cơ quan, tổ chức, cá nhân.
3. Bảo đảm cơ sở vật chất, điều kiện hoạt động
cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 52. Nghiên cứu, phát
triển các giải pháp bảo vệ dữ liệu cá nhân
1. Xây dựng hệ thống phần mềm, trang thiết bị bảo
vệ bảo vệ dữ liệu cá nhân.
2. Phương pháp thẩm định phần mềm, trang thiết bị
bảo vệ dữ liệu cá nhân đạt chuẩn.
3. Phương pháp kiểm tra phần cứng, phần mềm được
cung cấp thực hiện đúng chức năng.
4. Ghi nhận và quản lý sự tuân thủ quy định về bảo
vệ dữ liệu cá nhân.
5. Xây dựng Tiêu chuẩn về bảo vệ dữ liệu cá
nhân.
6. Giải quyết nguy cơ lộ, mất dữ liệu cá nhân.
7. Sáng kiến kỹ thuật nâng cao nhận thức, kỹ
năng về bảo vệ dữ liệu cá nhân.
8. Xử lý dữ liệu cá nhân phục vụ công tác thống
kê, khoa học.
9. Nghiên cứu thực tiễn, phát triển lý luận bảo
vệ dữ liệu cá nhân.
Điều 53. Nâng cao năng lực
bảo vệ dữ liệu cá nhân
1. Nhà nước khuyến khích, tạo điều kiện để cơ
quan, tổ chức, cá nhân nâng cao năng lực bảo vệ dữ liệu cá nhân và sử dụng dữ
liệu cá nhân đúng pháp luật vào mục đích phát triển kinh tế, xã hội.
2. Chính phủ thực hiện các biện pháp sau đây để
nâng cao năng lực bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân:
a) Thúc đẩy chuyển giao, nghiên cứu, làm chủ và
phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
b) Thúc đẩy ứng dụng công nghệ mới, công nghệ
tiên tiến liên quan đến bảo vệ dữ liệu cá nhân;
c) Tổ chức đào tạo, phát triển và sử dụng nhân lực
bảo vệ dữ liệu cá nhân;
d) Tăng cường môi trường kinh doanh, cải thiện
điều kiện cạnh tranh hỗ trợ doanh nghiệp nghiên cứu, sản xuất sản phẩm, dịch vụ,
ứng dụng để bảo vệ dữ liệu cá nhân;
đ) Ban hành cơ chế, chính sách đúng quy định
pháp luật nhằm sử dụng dữ liệu cá nhân phục vụ mục đích phát triển kinh tế, xã
hội.
Điều 54. Giáo dục, bồi dưỡng,
phổ biến kiến thức về bảo vệ dữ liệu cá nhân
1. Nhà nước có chính sách phổ biến kiến thức về
bảo vệ dữ liệu cá nhân trong phạm vi cả nước, khuyến khích cơ quan nhà nước phối
hợp với tổ chức tư nhân, cá nhân thực hiện chương trình giáo dục và nâng cao nhận
thức về bảo vệ dữ liệu cá nhân.
2. Bộ, ngành, cơ quan, tổ chức có trách nhiệm
xây dựng và triển khai hoạt động phổ biến kiến thức về bảo vệ dữ liệu cá nhân
cho cán bộ, công chức, viên chức, người lao động trong Bộ, ngành, cơ quan, tổ
chức.
3. Ủy ban nhân dân cấp tỉnh có trách nhiệm xây dựng
và triển khai hoạt động phổ biến kiến thức, nâng cao nhận thức về bảo vệ dữ liệu
cá nhân cho cơ quan, tổ chức, cá nhân của địa phương.
4. Mỗi người dân đều cần trang bị kiến thức, nhận
thức, kỹ năng bảo vệ dữ liệu cá nhân.
5. Nội dung giáo dục, bồi dưỡng kiến thức bảo vệ
dữ liệu cá nhân được đưa vào chương trình đào tạo trong nhà trường, từ bậc tiểu
học cho tới đào tạo đại học.
6. Bộ Công an chủ trì, phối hợp với Bộ Giáo dục
và Đào tạo, các Bộ, ngành có liên quan tổ chức bồi dưỡng nghiệp vụ bảo vệ dữ liệu
cá nhân cho lực lượng bảo vệ an ninh mạng và công chức, viên chức, người lao động,
học sinh, sinh viên.
Điều 55. Kiểm tra công tác
bảo vệ dữ liệu cá nhân
1. Kiểm tra công tác bảo vệ dữ liệu cá nhân được
tiến hành thường xuyên, định kỳ, đột xuất, trong trường hợp sau đây:
a) Khi có hành vi vi phạm pháp luật về bảo vệ dữ
liệu cá nhân;
b) Thực hiện công tác quản lý nhà nước theo quy
định của pháp luật.
2. Đối tượng bảo vệ dữ liệu cá nhân bao gồm:
a) Cơ quan, tổ chức, cá nhân có hoạt động xử lý
dữ liệu cá nhân;
b) Tổ chức, cá nhân kinh doanh hoạt động xử lý dữ
liệu cá nhân;
c) Tổ chức, cá nhân phải thực hiện hoạt động
đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá
nhân ra nước ngoài;
d) Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ
liệu cá nhân.
3. Nội dung kiểm tra công tác bảo vệ dữ liệu cá
nhân:
a) Hiện trạng tuân thủ công tác bảo vệ dữ liệu
cá nhân;
b) Hoạt động đánh giá tác động xử lý dữ liệu cá
nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
c) Hoạt động chứng nhận đủ điều kiện năng lực
công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
ban hành Quyết định kiểm tra và thông báo trước cho đối tượng kiểm tra quy định
tại khoản 2 Điều này trước 15 ngày làm việc về thời gian, nội dung và thành phần
đoàn kiểm tra.
5. Đối tượng được kiểm tra phải chuẩn bị đầy đủ
các nội dung kiểm tra theo quy định của pháp luật.
6. Kết quả kiểm tra được bảo mật
theo quy định của pháp luật.
Điều 56. Kinh phí bảo đảm
hoạt động bảo vệ dữ liệu cá nhân
1. Kinh phí thực hiện bảo vệ dữ liệu
cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong
và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
viện trợ quốc tế và các nguồn thu hợp pháp khác.
2. Kinh phí bảo vệ dữ liệu cá nhân
của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán
ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước
được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
3. Kinh phí bảo vệ dữ liệu cá nhân
của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện
theo quy định.
Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN,
TỔ CHỨC, CÁ NHÂN
Điều 57. Trách nhiệm của Bộ
Công an
1. Giúp Chính phủ thống nhất thực hiện quản lý
nhà nước về bảo vệ dữ liệu cá nhân.
2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu
cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của
pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu
cá nhân và các khuyến nghị áp dụng.
3. Quản lý Cơ quan chuyên trách bảo vệ dữ liệu
cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; đánh giá kết
quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên
quan.
4. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ
dữ liệu cá nhân theo quy định tại Luật này.
5. Thúc đẩy các biện pháp và thực hiện nghiên cứu
để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về
bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra, điều tra, giải quyết khiếu
nại về bảo vệ dữ liệu cá nhân, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu
cá nhân.
1. Thực hiện các biện pháp tổ chức và kỹ thuật
cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ
liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà
soát và cập nhật các biện pháp này khi cần thiết.
2. Lưu trữ và ghi lại toàn bộ quá trình xử lý dữ
liệu cá nhân bằng văn bản hoặc hình thức điện tử.
3. Thông báo hành vi vi phạm quy định về bảo vệ
dữ liệu cá nhân theo quy định tại Điều 34 Luật
này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với
nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp
bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo
quy định tại Điều 9 Luật này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm
trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây
ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có
thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử
lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp
đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc
thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu
cá nhân quy định tại Luật này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm
trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây
ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên
Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có
thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử
lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm của
Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm xử
lý dữ liệu cá nhân theo quy định tại Luật này.
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ
chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân
theo quy định tại Luật này.
2. Đề xuất ban hành Danh mục dữ liệu mở quốc gia
phù hợp với quy định bảo vệ dữ liệu cá nhân.
3. Xây dựng, hướng dẫn và triển khai các biện
pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá
nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được
giao.
4. Phối hợp với Bộ Công an trong thanh tra, kiểm
tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi
phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức,
cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức
năng, nhiệm vụ được giao.
1. Phối hợp với Bộ Công an trong xây dựng Tiêu
chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu
cá nhân.
2. Nghiên cứu, trao đổi Bộ Công an về các biện
pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ
liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về
bảo vệ dữ liệu cá nhân.
2. Xây dựng và triển khai các nội dung, nhiệm vụ
bảo vệ dữ liệu cá nhân tại Luật này.
3. Bổ sung các quy định bảo vệ dữ liệu cá nhân
trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ
liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ
liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về
bảo vệ dữ liệu cá nhân.
2. Triển khai các quy định về bảo vệ dữ liệu cá
nhân tại Luật này.
3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ
liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình,
chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại
Luật này.
3. Thông báo kịp thời cho Bộ Công an về những vi
phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi
phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
1. Luật này có hiệu lực thi hành từ ngày 01
tháng 01 năm 2026.
2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ,
doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định
về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu
kể từ khi thành lập doanh nghiệp.
3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ,
doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động
xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
Luật này được Quốc hội nước Cộng hòa xã hội
chủ nghĩa Việt Nam khóa XV, kỳ họp thứ thông qua
ngày tháng năm 2025.
|
|
CHỦ TỊCH QUỐC
HỘI
Trần Thanh Mẫn
|
DỰ THẢO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
Điều 2. Giải thích từ ngữ
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá
nhân
Điều 5. Nội dung quản lý nhà nước về bảo vệ dữ
liệu cá nhân
Điều 6. Áp dụng Luật bảo vệ dữ liệu cá nhân, các
luật liên quan và Điều ước quốc tế
Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá
nhân
Điều 8. Hành vi bị nghiêm cấm
Chương II
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ liệu
Điều 10. Nghĩa vụ của chủ thể dữ liệu
CHƯƠNG III
BẢO VỆ DỮ LIỆU CÁ NHÂN
TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ thể dữ liệu
Điều 12. Rút lại sự đồng ý
Điều 13. Thông báo xử lý dữ liệu cá nhân
Điều 14. Cung cấp dữ liệu cá nhân
Điều 15. Chỉnh sửa dữ liệu cá nhân
Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
Điều 17. Xử lý dữ liệu cá nhân trong trường hợp
không cần sự đồng ý của chủ thể dữ liệu
Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt
động ghi âm, ghi hình tại nơi công cộng
Điều 20. Xử lý dữ liệu cá nhân của trẻ em
Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh
dịch vụ tiếp thị
Điều 22. Bảo vệ dữ liệu cá nhân trong kinh doanh
dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể
Điều 23. Bảo vệ dữ liệu cá nhân trong xử lý dữ
liệu lớn
Điều 24. Bảo vệ dữ liệu cá nhân trong trí tuệ
nhân tạo
Điều 25. Bảo vệ dữ liệu cá nhân trong điện toán
đám mây
Điều 26. Bảo vệ dữ liệu cá nhân trong giám sát
và tuyển dụng lao động
Điều 27. Bảo vệ dữ liệu cá nhân trong hoạt động
tài chính, ngân hàng, tín dụng, thông tin tín dụng
Điều 28. Bảo vệ dữ liệu cá nhân có liên quan tới
thông tin sức khỏe, bảo hiểm
Điều 29. Ký kết hợp đồng, thỏa thuận với chủ thể
dữ liệu
Điều 30. Dữ liệu vị trí
Điều 31. Mạng xã hội, dịch vụ truyền thông được
cung cấp trực tiếp đến người xem thông qua không gian mạng
Điều 32. Dữ liệu sinh trắc học
Điều 33. Phòng, chống thu thập, chuyển giao trái
phép, mua, bán dữ liệu cá nhân
Điều 34. Thông báo vi phạm quy định về bảo vệ dữ
liệu cá nhân
CHƯƠNG IV
SỬ DỤNG DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG KINH
DOANH
Điều 35. Sử dụng dữ liệu cá nhân trong hoạt động
kinh doanh
Điều 36. Tổ chức bảo vệ dữ liệu cá nhân
Điều 37. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu
cá nhân
Điều 38. Chuyên gia bảo vệ dữ liệu cá nhân
Điều 39. Chứng nhận đủ điều kiện năng lực công
nghệ và pháp lý về bảo vệ dữ liệu cá nhân
Điều 40. Phê duyệt Tổ chức chứng nhận đủ điều kiện
về bảo vệ dữ liệu cá nhân
Điều 41. Xếp hạng tín nhiệm bảo vệ dữ liệu cá
nhân
Điều 42. Giấy chứng nhận đủ
điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
Điều 43. Dịch vụ xử lý dữ liệu cá nhân và Giấy
chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Điều 44. Đánh giá tác động xử lý dữ liệu cá nhân
Điều 45. Chuyển dữ liệu cá nhân ra nước ngoài
Điều 46. Cập nhật hồ sơ đánh giá tác động xử lý
dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
CHƯƠNG V
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ
NHÂN
Điều 47. Biện pháp bảo vệ dữ liệu cá nhân
Điều 48. Bảo vệ dữ liệu cá nhân cơ bản
Điều 49. Bảo vệ dữ liệu cá nhân nhạy cảm
Điều 50. Cơ quan chuyên trách bảo vệ dữ liệu cá
nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
Điều 51. Lực lượng bảo vệ dữ liệu
cá nhân
Điều 52. Nghiên cứu, phát triển các giải pháp bảo
vệ dữ liệu cá nhân
Điều 53. Nâng cao năng lực bảo vệ dữ liệu cá
nhân
Điều 54. Giáo dục, bồi dưỡng, phổ biến kiến thức
về bảo vệ dữ liệu cá nhân
Điều 55. Kiểm tra công tác bảo vệ dữ liệu cá
nhân
Điều 56. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 57. Trách nhiệm của Bộ Công an
Điều 58. Trách nhiệm của Bên Kiểm soát dữ liệu
cá nhân
Điều 59. Trách nhiệm của Bên Xử lý dữ liệu cá
nhân
Điều 60. Trách nhiệm của Bên Kiểm soát và xử lý
dữ liệu
Điều 61. Trách nhiệm của Bên thứ Ba
Điều 62. Trách nhiệm của Bộ Thông tin và Truyền
thông
Điều 63. Trách nhiệm của Bộ Quốc phòng
Điều 64. Trách nhiệm của Bộ Khoa học và Công nghệ
Điều 65. Trách nhiệm của bộ, cơ quan ngang bộ,
cơ quan thuộc Chính phủ
Điều 66. Trách nhiệm của Ủy ban nhân dân các tỉnh,
thành phố trực thuộc Trung ương
Điều 67. Trách nhiệm của tổ chức, cá nhân có
liên quan
Chương VII
ĐIỀU KHOẢN THI HÀNH
Điều 68. Hiệu lực thi hành