Đăng xuất
Dự thảo Luật Bảo vệ dữ liệu cá nhân
| Số hiệu | Khongso |
| Ngày ban hành | 08/05/2025 |
| Ngày có hiệu lực | |
| Loại văn bản | Luật |
| Cơ quan ban hành | Quốc hội |
| Người ký | Trần Thanh Mẫn |
| Lĩnh vực | Bộ máy hành chính |
|
QUỐC HỘI |
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM |
|
Luật số: /2025/QH15 |
|
|
DỰ THẢO |
|
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân.
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Luật này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
2. Luật này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu phi cá nhân là dữ liệu không gắn liền với một con người cụ thể hoặc không thể giúp xác định một con người cụ thể.
4. Chủ thể dữ liệu cá nhân là cá nhân được dữ liệu cá nhân phản ánh.
5. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
6. Sự đồng ý của chủ thể dữ liệu là thông tin được thể hiện rõ ràng, tự nguyện, khẳng định về việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
7. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
8. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua hợp đồng với Bên Kiểm soát dữ liệu.
9. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
10. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
11. Khử nhận dạng dữ liệu cá nhân là quá trình ẩn danh hoặc xóa các nội dung định danh hoặc thay thế dữ liệu cá nhân bằng tên hoặc mã giả tưởng để tạo ra dữ liệu mới không thể xác định một cá nhân cụ thể.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Dữ liệu cá nhân được xử lý công khai, minh bạch. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.
2. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
|
QUỐC HỘI |
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM |
|
Luật số: /2025/QH15 |
|
|
DỰ THẢO |
|
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân.
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Luật này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
2. Luật này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu phi cá nhân là dữ liệu không gắn liền với một con người cụ thể hoặc không thể giúp xác định một con người cụ thể.
4. Chủ thể dữ liệu cá nhân là cá nhân được dữ liệu cá nhân phản ánh.
5. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
6. Sự đồng ý của chủ thể dữ liệu là thông tin được thể hiện rõ ràng, tự nguyện, khẳng định về việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
7. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
8. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua hợp đồng với Bên Kiểm soát dữ liệu.
9. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
10. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
11. Khử nhận dạng dữ liệu cá nhân là quá trình ẩn danh hoặc xóa các nội dung định danh hoặc thay thế dữ liệu cá nhân bằng tên hoặc mã giả tưởng để tạo ra dữ liệu mới không thể xác định một cá nhân cụ thể.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Dữ liệu cá nhân được xử lý công khai, minh bạch. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.
2. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
3. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.
4. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
5. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
6. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
7. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 6 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
1. Cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo mức độ chịu trách nhiệm dân sự, bị xử lý kỷ luật, xử lý vi phạm hành chính, xử lý hình sự theo quy định của pháp luật.
2. Áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân. Chính phủ quy định chi tiết quy định cụ thể về mức phạt, khung tiền phạt đối với từng hành vi vi phạm hành chính.
Điều 5. Áp dụng pháp luật về bảo vệ dữ liệu cá nhân
1. Hoạt động bảo vệ dữ liệu cá nhân trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam thực hiện theo quy định của Luật này và quy định của pháp luật có liên quan.
2. Trường hợp luật, nghị quyết của Quốc hội ban hành trước ngày Luật này có hiệu lực thi hành có các quy định cụ thể liên quan đến bảo vệ dữ liệu cá nhân mà không trái với nguyên tắc bảo vệ dữ liệu cá nhân quy định tại Luật này thì áp dụng quy định của luật, nghị quyết đó.
3. Trường hợp luật, nghị quyết của Quốc hội ban hành sau ngày Luật này có hiệu lực thi hành có quy định về bảo vệ dữ liệu cá nhân thì phải quy định cụ thể nội dung, biện pháp bảo vệ dữ liệu cá nhân và không trái với nguyên tắc bảo vệ dữ liệu cá nhân quy định tại Luật này.
Điều 6. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân.
3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân.
4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân; tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam,, gây ảnh hưởng tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền.
3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
4. Thu thập, xử lý, chuyển giao dữ liệu cá nhân trái quy định của pháp luật.
5. Mua, bán dữ liệu cá nhân.
6. Cố ý chiếm đoạt, làm lộ, mất dữ liệu cá nhân.
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 8. Quyền của chủ thể dữ liệu
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc từ chối cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.
3. Quyền truy cập, chỉnh sửa
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình nếu chưa chính xác, trừ trường hợp luật khác có quy định khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật khác có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.
6. Quyền hạn chế
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi nghi ngờ tính chính xác của dữ liệu, trừ trường hợp dữ liệu không thể hạn chế xử lý dữ liệu do quy định của luật;
b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật khác có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.
8. Quyền phản đối
a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình;
b) Phản đối của chủ thể dữ liệu vô hiệu khi luật đã có quy định khác;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật khác có quy định khác.
9. Quyền khiếu nại, tố cáo
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan.
10. Quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
11. Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan, theo quy định tại Luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
Điều 9. Nghĩa vụ của chủ thể dữ liệu
1. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
2. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
3. Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 10. Sự đồng ý của chủ thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực nếu dựa trên sự tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Sự đồng ý của chủ thể dữ liệu phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng, cụ thể, như: bằng văn bản, bằng giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không được kèm theo điều kiện bắt buộc phải đồng ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không đúng mục đích thu thập. Chủ thể dữ liệu có quyền từ chối điều kiện này.
8. Chủ thể dữ liệu được đồng ý một phần hoặc với điều kiện kèm theo khi nhận được đề nghị đồng ý cho xử lý dữ liệu cá nhân.
9. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
10. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
11. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
12. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 4 Điều này, trừ trường hợp luật khác có quy định khác.
1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
Điều 12. Thu thập, phân loại, thông báo xử lý dữ liệu cá nhân
1. Việc xử lý dữ liệu cá nhân trong môi trường truyền thống, không phải trong môi trường điện tử được thực hiện theo các nguyên tắc bảo vệ dữ liệu cá nhân quy định tại Luật này. Tổ chức, cá nhân có liên quan trách nhiệm bảo vệ dữ liệu cá nhân theo quy định của pháp luật, chức năng, nhiệm vụ, quyền hạn được phân công.
2. Dữ liệu cá nhân được thu thập từ các nguồn bao gồm: trực tiếp tạo lập; số hóa giấy tờ, tài liệu và các dạng vật chất khác và bảo đảm nguyên tắc về sự đồng ý của chủ thể dữ liệu trước khi thu thập dữ liệu cá nhân.
3. Cơ quan, tổ chức, cá nhân thu thập dữ liệu cá nhân phải phân loại dữ liệu cá nhân thành dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm dựa trên yêu cầu quản trị, xử lý, bảo vệ dữ liệu.
Chính phủ quy định chi tiết danh mục dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm.
4. Thông báo xử lý dữ liệu cá nhân được tiến hành 01 lần trong trường hợp sau khi đã thu thập dữ liệu cá nhân và trước khi tiến hành các hoạt động xử lý lý khác.
5. Nội dung thông báo xử lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 3 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 3 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
6. Việc thông báo xử lý dữ liệu cá nhân phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 3 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 8 Luật này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
Điều 13. Phân tích, tổng hợp dữ liệu cá nhân
1. Cơ quan nhà nước có thẩm quyền phân tích, tổng hợp dữ liệu cá nhân từ nguồn dữ liệu tự tạo lập hoặc được chia sẻ, cung cấp, khai thác, sử dụng theo quy định của pháp luật để phục vụ công tác lãnh đạo, chỉ đạo, quản lý nhà nước, phát triển kinh tế - xã hội.
2. Tổ chức, cá nhân không thuộc quy định tại khoản 1 Điều này được phân tích, tổng hợp dữ liệu cá nhân từ nguồn dữ liệu cá nhân được phép truy cập, sử dụng theo quy định của luật.
Điều 14. Công khai dữ liệu cá nhân
1. Việc công khai dữ liệu cá nhân phải được thực hiện theo quy định của Luật này và các Luật khác, bảo đảm phản ánh đúng dữ liệu cá nhân từ nguồn dữ liệu gốc, thuận lợi cho tổ chức, cá nhân trong việc khai thác, sử dụng, chia sẻ.
2. Hình thức công khai dữ liệu cá nhân, bao gồm: đăng tải dữ liệu trên cổng thông tin điện tử, trang thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.
Điều 15. Mã hóa, giải mã dữ liệu cá nhân
1. Mã hóa dữ liệu cá nhân là biện pháp bảo vệ dữ liệu cá nhân. Dữ liệu cá nhân được mã hóa vẫn là dữ liệu cá nhân.
2. Dữ liệu cá nhân thuộc danh mục bí mật nhà nước phải được mã hóa bằng mật mã của cơ yếu khi lưu trữ, truyền, nhận, chia sẻ trên mạng máy tính.
3. Dữ liệu cá nhân nhạy cảm phải được mã hóa khi lưu trữ, truyền, nhận, chia sẻ trên không gian mạng.
4. Cơ quan, tổ chức, cá nhân được sử dụng một hoặc nhiều giải pháp mã hóa và quy trình mã hóa, giải mã phù hợp với hoạt động quản trị, quản lý dữ liệu cá nhân của mình.
5. Tổ chức, cá nhân thu thập dữ liệu cá nhân quyết định việc mã hóa, giải mã dữ liệu.
Điều 16. Cung cấp dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân:
a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật khác có quy định khác.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, tổ chức, cá nhân mà chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền trong trường hợp:
a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;
c) Chủ thể dữ liệu không đồng ý cho tổ chức, cá nhân mà chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền được nhận dữ liệu cá nhân của mình.
5. Chính phủ quy định chi tiết trình tự, thủ tục thực hiện việc cung cấp dữ liệu cá nhân.
Điều 17. Chỉnh sửa dữ liệu cá nhân
1. Chủ thể dữ liệu:
a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật khác có quy định khác.
b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể từ khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
Điều 18. Lưu trữ, xóa, hủy dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:
a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
b) Rút lại sự đồng ý;
c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:
a) Luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
d) Dữ liệu cá nhân được xử lý phục vụ mục đích nghiên cứu khoa học, thống kê theo quy định của pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục hoặc hủy dữ liệu cá nhân trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
Điều 19. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
1. Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong tình huống khẩn cấp. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Việc công khai dữ liệu cá nhân theo quy định của luật.
3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
5. Phục vụ hoạt động của cơ quan nhà nước, hoạt động phục vụ quản lý nhà nước, hoạt động của các đơn vị sự nghiệp công lập theo quy định của pháp luật, phục vụ thí điểm một số cơ chế, chính sách đặc biệt tạo đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đã được quy định theo luật, nghị quyết của Quốc hội.
Các cơ quan, tổ chức, cá nhân có liên quan cần thiết lập cơ chế giám sát khi xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu, gồm:
1. Thiết lập quy trình, chính sách bảo vệ dữ liệu cá nhân rõ ràng và minh bạch; xác định rõ các quy trình và trách nhiệm của từng cá nhân trong việc xử lý và bảo vệ dữ liệu cá nhân; thực hiện kiểm tra, đánh giá định kỳ để đảm bảo rằng các quy trình xử lý dữ liệu cá nhân đang tuân thủ các quy định của pháp luật và phù hợp với chính sách nội bộ; thường xuyên đánh giá rủi ro liên quan đến việc xử lý dữ liệu cá nhân để cập nhật và cải thiện các biện pháp bảo vệ.
2. Áp dụng đầy đủ các biện pháp bảo vệ dữ liệu cá nhân. Thực hiện các đầy đủ quy định về báo cáo và xử lý khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân. Thiết lập cơ chế giám sát đa chiều từ cơ quan chức năng, chủ thể dữ liệu đối với việc xử lý dữ liệu cá nhân và đảm bảo các bên có liên quan cũng tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
3. Bảo đảm các quyền của chủ thể dữ liệu và trách nhiệm giải trình của các Bên trong quá trình xử lý dữ liệu cá nhân. Có cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ người dân và tổ chức có liên quan.
4. Đảm bảo rằng tất cả nhân viên được đào tạo về các quy định và thực hành tốt nhất trong việc bảo vệ dữ liệu cá nhân. Tăng cường nhận thức về tầm quan trọng của bảo vệ dữ liệu cá nhân trong tổ chức, doanh nghiệp.
Điều 21. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
1. Cơ quan, tổ chức, cá nhân được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích thực hiện nhiệm vụ quốc phòng, bảo vệ an ninh quốc gia, bảo đảm trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
2. Trường hợp ghi âm, ghi hình theo quy định tại khoản 1 Điều này, cơ quan, tổ chức, cá nhân có trách nhiệm thông báo để chủ thể dữ liệu hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
Điều 22. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết được thực hiện theo quy định tại Điều 25 Bộ luật Dân sự.
Điều 23. Xử lý dữ liệu cá nhân của trẻ em
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
2. Trước khi xử lý dữ liệu cá nhân của trẻ em, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh hoặc xác thực tuổi của trẻ em và được sự đồng ý của người đại diện theo pháp luật.
3. Đối với xử lý dữ liệu cá nhân của trẻ em dưới 07 tuổi, cần sự đồng ý của người đại diện theo pháp luật.
4. Đối với xử lý dữ liệu cá nhân của trẻ em từ 07 tuổi đến dưới 15 tuổi, cần có sự đồng ý của trẻ em và của người đại diện theo pháp luật. Trường hợp có mâu thuẫn về sự đồng ý của trẻ em từ 06 tuổi đến dưới 15 tuổi với người đại diện theo pháp luật thì ưu tiên sự đồng ý của trẻ em.
5. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
b) Người đại diện theo pháp luật hoặc trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;
c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
Điều 24. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị
1. Sử dụng dữ liệu cá nhân để tiếp thị là hoạt động liên quan tới việc gọi điện, gửi email, tin nhắn, thư hoặc truyền tải các thông tin tiếp thị khác tới người tiêu dùng thông qua dữ liệu cá nhân của khách hàng đã thu thập trước đó.
2. Dịch vụ tiếp thị bao gồm các hoạt động và chiến lược được sử dụng để quảng bá, tiếp cận, và thuyết phục khách hàng tiềm năng về sản phẩm hoặc dịch vụ của một công ty, có thể bao gồm: nghiên cứu thị trường, chiến lược tiếp thị, quảng cáo và truyền thông, tiếp thị nội dung, tiếp thị mạng xã hội, email marketing, đánh giá và tối ưu hóa.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị. Việc thu thập, sử dụng dữ liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu quy định tại Điều 8 Luật này.
4. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; cung cấp tùy chọn cho người dùng để có thể từ chối nhận các thông tin tiếp thị.
5. Việc sử dụng dữ liệu cá nhân để tiếp thị phải phù hợp với quy định của pháp luật về phòng chống thư rác, sim rác và các quy định của pháp luật có liên quan tới tiếp thị, quảng cáo.
6. Chủ thể dữ liệu có quyền yêu cầu ngừng nhận thông tin từ dịch vụ tiếp thị. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị phải cung cấp cơ chế và ngừng ngay lập tức sau khi có yêu cầu của chủ thể dữ liệu.
7. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị không được thuê hoặc thỏa thuận để một tổ chức khác thay mặt thực hiện việc kinh doanh tiếp thị dựa trên dữ liệu cá nhân khách hàng của mình.
8. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 2, 3, 4, 5, 6 Điều này.
1. Sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể là hoạt động sử dụng dữ liệu cá nhân của khách hàng hoặc dữ liệu hành vi của khách hàng để quảng cáo theo mục tiêu được xác định.
2. Các tổ chức, cá nhân khi sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể cần tuân thủ các quy định sau:
a) Tuân thủ các quy định tại Điều 8, Điều 22 Luật này;
b) Việc thu thập dữ liệu cá nhân thông qua việc theo dõi website, ứng dụng chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu;
c) Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể không được thuê hoặc thỏa thuận để một tổ chức khác thay mặt thực hiện việc kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể dựa trên dữ liệu cá nhân khách hàng của mình;
d) Các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải thiết lập hoạt động cho phép chủ thể dữ liệu từ chối chia sẻ dữ liệu cho các bối cảnh khác nhau; xác định rõ thời gian lưu trữ dữ liệu hành vi và xóa bỏ dữ liệu khi không còn cần thiết; nội dung quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải phù hợp với quy định của pháp luật và đạo đức xã hội.
Điều 26. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
Các cơ quan, tổ chức, cá nhân có liên quan khi xử lý dữ liệu lớn cần thực hiện các biện pháp bảo vệ sau:
1. Tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu.
2. Áp dụng mã hóa để bảo vệ dữ liệu trong quá trình lưu trữ và truyền tải, có biện pháp bảo đảm dữ liệu không bị truy cập trái phép.
3. Sử dụng các phương thức xác thực mạnh mẽ và phân quyền truy cập để đảm bảo chỉ những người có quyền mới có thể truy cập dữ liệu cá nhân.
4. Ẩn danh dữ liệu cá nhân: loại bỏ hoặc biến đổi thông tin nhận dạng cá nhân trong dữ liệu để bảo vệ danh tính cá nhân.
5. Giả danh dữ liệu: Sử dụng kỹ thuật giả danh để làm cho dữ liệu không thể liên kết trực tiếp với các cá nhân cụ thể.
6. Chỉ thu thập và lưu trữ những dữ liệu cá nhân cần thiết cho mục đích xử lý, hạn chế thu thập dữ liệu cá nhân không cần thiết.
7. Thực hiện lưu trữ dữ liệu tạm thời, xóa dữ liệu cá nhân không cần thiết sau khi đã hoàn thành mục đích xử lý.
8. Giám sát liên tục: sử dụng các công cụ giám sát để theo dõi hoạt động truy cập dữ liệu cá nhân và phát hiện các hành vi bất thường.
9. Kiểm tra định kỳ: thực hiện các kiểm tra bảo mật định kỳ để phát hiện và khắc phục các lỗ hổng bảo mật.
10. Đào tạo về bảo mật dữ liệu và các biện pháp bảo vệ dữ liệu cá nhân cho nhân viên. Tăng cường nhận thức về tầm quan trọng của bảo vệ dữ liệu cá nhân trong toàn tổ chức.
11. Có cơ chế ràng buộc các đối tác và nhà cung cấp dịch vụ tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
Điều 27. Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo
1. Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các thuật toán tự học, trí tuệ nhân tạo và các hệ thống tự động khác nhưng cần bảo đảm tuân thủ các quy định bảo vệ dữ liệu cá nhân tại Luật này.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích ảnh hưởng thuật toán, trí tuệ nhân tạo và các hệ thống tự động đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu; đưa ra các lựa chọn để chủ thể dữ liệu có quyền không tham gia.
3. Các tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, gồm:
a) Nghiên cứu, xây dựng và triển khai hệ thống tiêu chuẩn an ninh mạng toàn diện cho các nền tảng trí tuệ nhân tạo, đặc biệt chú trọng các yếu tố: bảo mật thông tin, độ tin cậy của thuật toán, tính ổn định hệ thống và khả năng phòng chống tấn công mạng;
b) Thiết lập phương án dự phòng chiến lược cho các tình huống khẩn cấp khi hệ thống trí tuệ nhân tạo gặp sự cố;
c) Xây dựng cơ chế bảo vệ dữ liệu cá nhân theo tiêu chuẩn quốc tế cao nhất. Phát triển hệ thống giám sát và cảnh báo sớm các nguy cơ an ninh mạng;
d) Thiết lập cơ chế kiểm soát, ngăn chặn việc lợi dụng AI vào các hoạt động xâm phạm an ninh quốc gia, trật tự an toàn xã hội.
5. Đảm bảo tính minh bạch và trách nhiệm giải trình trong hoạt động của các hệ thống trí tuệ nhân tạo:
a) Xây dựng quy trình vận hành minh bạch, có cơ sở khoa học cho các hệ thống trí tuệ nhân tạo;
b) Thiết lập cơ chế giám sát đa chiều từ các cơ quan chức năng và cộng đồng;
c) Bảo đảm quyền tiếp cận thông tin và giải trình đối với các quyết định của hệ thống trí tuệ nhân tạo;
d) Hoàn thiện cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ người dân và tổ chức;
đ) Xây dựng hệ thống đánh giá tác động của trí tuệ nhân tạo đến quyền và lợi ích hợp pháp của công dân.
Điều 28. Bảo vệ dữ liệu cá nhân trong điện toán đám mây
1. Các cơ quan, tổ chức, cá nhân có liên quan cần áp dụng các biện pháp kỹ thuật và tổ chức để tránh dữ liệu cá nhân bị truy cập trái phép khi triển khai dịch vụ điện toán đám mây.
2. Trách nhiệm của các tổ chức, cá nhân ký kết hợp đồng có liên quan tới xử lý dữ liệu cá nhân với các doanh nghiệp cung cấp dịch vụ điện toán đám mây:
a) Nêu rõ trong nội dung hợp đồng về việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm; chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
b) Chỉ xử lý dữ liệu của khách hàng vì lợi ích và thay mặt cho khách hàng;
c) Có yêu cầu về các biện pháp bảo mật, kỹ thuật, tổ chức và được nêu rõ trong hợp đồng;
d) Thông báo ngay lập tức bất kỳ sự thay đổi nào có thể ảnh hưởng tới dữ liệu cá nhân;
đ) Bồi thường thiệt hại (nếu có);
e) Cung cấp các báo cáo kiểm toán theo quy định của pháp luật, xóa các dữ liệu khách hàng theo yêu cầu;
g) Thực hiện đầy đủ các biện pháp kỹ thuật để bảo đảm quyền truy cập dữ liệu được phân cấp một cách hợp lý.
3. Các doanh nghiệp cung cấp dịch vụ điện toán đám mây:
a) Chấp hành các quy định về bảo vệ dữ liệu cá nhân của Việt Nam, cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm, chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
b) Đề nghị các nhà thầu phụ thực hiện các quy định và nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
c) Áp dụng các biện pháp kỹ thuật và tổ chức ở mức phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của mình.
Điều 29. Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động
1. Các cơ quan, tổ chức, cá nhân khi tuyển dụng lao động cần bảo đảm các nội dung:
a) Chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động;
b) Các thông tin được cung cấp trong hồ sơ người lao động được xử lý theo quy định của pháp luật và phải được sự đồng ý của chủ thể dữ liệu;
c) Hồ sơ người lao động được lưu trữ có thời hạn theo quy định của pháp luật và phải được xóa khi không còn yêu cầu hoặc kết thúc thời gian theo quy định, trừ trường hợp luật có quy định khác;
d) Khi dữ liệu cá nhân của người lao động được cập nhật lên hệ thống cơ sở dữ liệu người lao động toàn cầu: cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu cá nhân phải chứng minh được việc thu thập và xử lý dữ liệu là hợp pháp và chịu trách nhiệm về tính hợp pháp của thông tin do mình cung cấp.
2. Các công ty nước ngoài tuyển dụng và xử lý dữ liệu cá nhân của nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam:
a) Tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật Việt Nam;
b) Có văn bản, hợp đồng với tổ chức, doanh nghiệp đầu tư tại Việt Nam về việc xử lý dữ liệu cá nhân của người lao động;
c) Cung cấp cho tổ chức, doanh nghiệp đầu tư tại Việt Nam bản sao dữ liệu về nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam để tuân thủ các quy định của pháp luật khi cần thiết.
3. Việc xử lý dữ liệu cá nhân áp dụng các biện pháp công nghệ, kỹ thuật giám sát người lao động là nhân viên tổ chức, doanh nghiệp:
a) Áp dụng các biện pháp quản lý phù hợp với quy định của pháp luật và bảo đảm quyền và lợi ích của chủ thể dữ liệu, trên cơ sở nhân viên tổ chức, doanh nghiệp biết rõ và đồng ý với việc giám sát;
b) Nêu rõ thông tin về biện pháp, công nghệ, nội dung giám sát người lao động trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
c) Cam kết không sử dụng các công nghệ, giải pháp kỹ thuật và giám sát những nội dung pháp luật không cho phép.
Điều 30. Bảo vệ dữ liệu cá nhân trong hoạt động ngân hàng, tài chính, tín dụng, thông tin tín dụng
1. Không được mua, bán thông tin tín dụng hoặc chuyển giao trái phép thông tin tín dụng giữa các tổ chức ngân hàng, tài chính, tín dụng, thông tin tín dụng.
2. Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động ngân hàng, tài chính, tín dụng, thông tin tín dụng theo quy định của pháp luật.
3. Không sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu.
4. Kết quả đánh giá thông tin tín dụng của chủ thể dữ liệu sử dụng vào hoạt động kinh doanh với bên khác chỉ được dưới dạng Đạt hoặc Không Đạt, Có hoặc Không, Đúng hoặc Sai, hoặc thang điểm trên cơ sở dữ liệu mà các tổ chức tài chính, ngân hàng, tín dụng, thông tin tín dụng thu thập trực tiếp từ khách hàng.
5. Xác định và tuyên bố rõ ràng về các khâu đoạn cần áp dụng biện pháp khử nhận dạng dữ liệu cá nhân.
6. Thông báo cho chủ thể dữ liệu về các sự cố và việc mất các thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.
Điều 31. Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm
1. Các cơ quan, tổ chức cá nhân có liên quan áp dụng các biện pháp bảo vệ dữ liệu cá nhân đối với các thông tin sức khỏe, bảo hiểm:
a) Bắt buộc phải có sự đồng ý của chủ thể dữ liệu trong quá trình thu thập, xử lý dữ liệu, trừ trường hợp quy định tại Điều 19 của Luật này;
b) Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các quy định khác về bảo vệ sức khỏe theo quy định của pháp luật.
2. Các tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho các tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu.
3. Các nhà phát triển phải tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân, trách nhiệm nghề nghiệp, tiêu chuẩn đạo đức và quy định về sản phẩm y tế khi xử lý dữ liệu cá nhân.
4. Trường hợp doanh nghiệp nhượng tái bảo hiểm và có chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng.
Điều 32. Hợp đồng xử lý dữ liệu cá nhân với chủ thể dữ liệu
Các hợp đồng có liên quan tới xử lý dữ liệu cá nhân với chủ thể dữ liệu phải có nội dung liên quan tới bảo vệ dữ liệu cá nhân, nêu rõ trách nhiệm, quyền lợi và nghĩa vụ phải tuân thủ của các bên tham gia, trường hợp áp dụng các công nghệ, biện pháp giám sát người lao động và yêu cầu sự đồng ý.
Điều 33. Dữ liệu vị trí
Các tổ chức, cá nhân sử dụng dữ liệu vị trí của chủ thể dữ liệu có trách nhiệm:
1. Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến (RFID) và các công nghệ khác trừ khi có sự đồng ý rõ ràng của chủ thể dữ liệu hoặc khi có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật.
2. Các nền tảng ứng dụng di động cần có sự thông báo rõ ràng với khách hàng và người sử dụng về việc sử dụng dữ liệu vị trí; có biện pháp ngăn chặn việc thu thập dữ liệu vị trí của các tổ chức, cá nhân không liên quan; cung cấp tùy chọn cho người dùng về các tùy chọn theo dõi vị trí.
3. Áp dụng đầy đủ quy định bảo vệ dữ liệu cá nhân đối với các hoạt động quảng cáo dựa trên hành vi và vị trí của người dùng.
Điều 34. Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến
1. Mạng xã hội là nền tảng cho phép người dùng tạo hồ sơ, chia sẻ nội dung, và tương tác với người khác; nhắn tin văn bản, gửi hình ảnh, video và gọi điện qua Internet; thực hiện cuộc gọi video giữa các thiết bị; nền tảng và dịch vụ cho phép người chơi tham gia vào các trò chơi qua Internet; tổ chức cuộc họp, hội thảo và lớp học trực tuyến.
2. Dịch vụ truyền thông trực tuyến là các nền tảng cung cấp nội dung video như phim, chương trình truyền hình và video ngắn qua mạng Internet; các nền tảng cho phép người dùng nghe nhạc trực tuyến; các dịch vụ cho phép phát trực tiếp nội dung video tới người xem trong thời gian thực.
3. Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm:
a) Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam;
b) Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
c) Không được yêu cầu hình ảnh, video chứa nội dung đầy đủ hoặc một phần căn cước, căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản;
d) Cung cấp lựa chọn cho phép người dùng từ chối thu thập cookies và chia sẻ cookies;
đ) Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
e) Thông báo cụ thể, rõ ràng, bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng;
g) Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu;
h) Cung cấp cơ chế để để người dùng báo cáo các vi phạm về bảo mật và quyền riêng tư;
i) Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng quyền truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho thông tin cá nhân; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi được chuyển giao ra bên ngoài lãnh thổ Việt Nam; thiết lập cơ chế để người dùng báo cáo các vi phạm về bảo vệ dữ liệu cá nhân; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả;
k) Thông báo cho chủ thể dữ liệu về các sự cố và vi phạm quy định về bảo vệ dữ liệu cá nhân về tài khoản mạng xã hội, dịch vụ truyền thông trực tuyến trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm hoặc sự cố, kèm theo kết quả xử lý, khắc phục hậu quả, đánh giá mức độ nghiêm trọng của sự cố và nguy cơ tiềm ẩn phát sinh.
4. Dữ liệu cá nhân đăng ký tài khoản mạng xã hội, dịch vụ truyền thông trực tuyến không thuộc trường hợp được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu.
Điều 35. Dữ liệu sinh trắc học
1. Các tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học áp dụng đầy đủ quy định về bảo vệ liệu cá nhân theo quy định của pháp luật. Có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học; sử dụng các biện pháp mã hóa mạnh mẽ trong quá trình truyền tải và lưu trữ; hạn chế quyền truy cập vào dữ liệu sinh trắc học; có hệ thống theo dõi để phát hiện sớm những hành vi vi phạm quy định về bảo vệ dữ liệu sinh trắc học; tuân thủ quy định pháp luật và tiêu chuẩn quốc tế liên quan.
2. Thông báo rõ ràng về hậu quả, rủi ro tiềm ẩn khi thu thập, xử lý dữ liệu sinh trắc của chủ thể dữ liệu.
Điều 36. Phòng, chống thu thập, chuyển giao trái phép
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình.
2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật để thu thập dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
Điều 37. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam ở nước ngoài thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ kể từ khi phát hiện xảy ra vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do trì hoãn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân xử lý hành vi vi phạm.
5. Tổ chức, cá nhân thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa Chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
d) Đề nghị xem xét lại tính hợp pháp của quyết định hành chính, xử lý hành chính, xử lý kỷ luật;
đ) Trường hợp khác theo quy định của pháp luật.
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH SỬ DỤNG DỮ LIỆU CÁ NHÂN
Điều 38. Sử dụng dữ liệu cá nhân trong hoạt động kinh doanh
1. Dữ liệu cá nhân được sử dụng vào hoạt động kinh doanh khi bảo đảm đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Sử dụng dữ liệu cá nhân trong hoạt động kinh doanh phải phù hợp với ngành nghề kinh doanh đã đăng ký và phù hợp với mục đích xử lý dữ liệu đã cam kết, ký kết với chủ thể dữ liệu.
3. Việc sử dụng dữ liệu cá nhân vào hoạt động kinh doanh, hoạt động phục vụ quản lý nhà nước, hoạt động của các đơn vị sự nghiệp công lập theo quy định của pháp luật, phục vụ thí điểm một số cơ chế, chính sách đặc biệt tạo đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia tuân thủ các nguyên tắc, quy định bảo vệ dữ liệu cá nhân tại Luật này không được coi là mua bán dữ liệu cá nhân.
Điều 39. Chuyên gia bảo vệ dữ liệu cá nhân
1. Chuyên gia bảo vệ dữ liệu cá nhân là người có đủ năng lực bảo vệ dữ liệu cá nhân, gồm:
a) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý;
b) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ;
c) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý.
2. Mỗi tổ chức, doanh nghiệp, cá nhân phải có tối thiểu 01 Chuyên gia bảo vệ dữ liệu cá nhân phù hợp với ngành, nghề, lĩnh vực kinh doanh.
3. Các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 05 năm đầu kể từ khi thành lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.
Điều 41. Tổ chức bảo vệ dữ liệu cá nhân, Chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân
1. Tổ chức bảo vệ dữ liệu cá nhân là tổ chức, doanh nghiệp đủ năng lực bảo vệ dữ liệu cá nhân, gồm:
a) Tổ chức đủ năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân;
b) Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu cá nhân;
c) Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu cá nhân.
2. Chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân là việc Tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân cấp chứng nhận đủ điều kiện năng lực công nghệ và pháp lý cho tổ chức, doanh nghiệp muốn trở thành Tổ chức bảo vệ dữ liệu cá nhân.
3. Tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chứng nhận và có khả năng đào tạo, cấp chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân cho cá nhân.
4. Chính phủ quy định chi tiết trình tự, thủ tục về việc phê duyệt Tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân.
Điều 42. Kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân
1. Kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân là việc các Tổ chức bảo vệ dữ liệu cá nhân cung cấp dịch vụ cho bên khác có nhu cầu về Tổ chức bảo vệ dữ liệu cá nhân phục vụ hoạt động bảo vệ dữ liệu cá nhân.
2. Điều kiện kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân:
a) Là Tổ chức bảo vệ dữ liệu cá nhân;
b) Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Tín nhiệm.
Điều 43. Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
1. Xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân là việc đánh giá mức độ uy tín của tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân.
2. Tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân là tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chứng nhận có khả năng thẩm định, kiểm tra, xác nhận, xếp hạng mức độ tín nhiệm về bảo vệ dữ liệu cá nhân.
3. Các mức độ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Tín nhiệm cao;
b) Tín nhiệm;
d) Không tín nhiệm.
2. Loại hình doanh nghiệp được kinh doanh dịch vụ xếp hạng tín nhiệm:
a) Công ty trách nhiệm hữu hạn;
b) Công ty cổ phần;
c) Công ty hợp danh;
d) Doanh nghiệp tư nhân;
đ) Các loại hình doanh nghiệp khác phù hợp với quy định của pháp luật.
4. Các doanh nghiệp không đăng ký kinh doanh dịch vụ xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân thì không được sử dụng cụm từ “xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân” hoặc các cụm từ khác có ý nghĩa tương tự.
5. Điều kiện cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân:
a) Văn bản chứng minh đủ điều kiện năng lực bảo vệ dữ liệu cá nhân;
b) Có vốn pháp định doanh nghiệp là từ 05 (năm) tỷ đồng trở lên;
c) Có tối thiểu 01 năm hoạt động trên lĩnh vực có liên quan tới an ninh mạng, bảo vệ dữ liệu cá nhân;
d) Có tối thiểu 03 nhân sự đáp ứng được yêu cầu trở thành chuyên viên phân tích tín nhiệm;
đ) Có tối thiểu 02 Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý hoặc 01 Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ và 01 Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý;
đ) Có Đề án đề nghị cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
6. Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân với các doanh nghiệp đủ điều kiện.
7. Chính phủ quy định chi tiết trình tự, thủ tục về việc xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân và cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
Điều 44. Dịch vụ xử lý dữ liệu cá nhân
1. Dịch vụ xử lý dữ liệu cá nhân là ngành, nghề kinh doanh có điều kiện cung cấp các giải pháp xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân.
2. Dịch vụ xử lý dữ liệu cá nhân gồm:
a) Dịch vụ phân tích, tổng hợp dữ liệu cá nhân;
b) Dịch vụ đánh giá tín nhiệm dựa trên dữ liệu cá nhân;
c) Dịch vụ thu thập dữ liệu cá nhân trực tuyến từ các trang web, ứng dụng di động và mạng xã hội và dịch vụ thu thập dữ liệu cá nhân ngoại tuyến từ các nguồn vật lý như phiếu khảo sát, đơn đăng ký và dữ liệu từ các thiết bị ngoại tuyến;
d) Dịch vụ phân tích và khai thác dữ liệu cá nhân, gồm: sử dụng các công cụ phân tích để tìm kiếm thông tin, xu hướng và mẫu từ dữ liệu cá nhân; áp dụng các phương pháp khai thác dữ liệu để trích xuất giá trị từ dữ liệu cá nhân, dự đoán hành vi khách hàng hoặc tối ưu hóa dịch vụ;
đ) Dịch vụ mã hóa dữ liệu cá nhân trong quá trình truyền tải và lưu trữ;
e) Các dịch vụ xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát, Bên Kiểm soát và Xử lý dữ liệu cá nhân.
3. Chính phủ quy định chi tiết điều kiện, trình tự, thủ tục về việc cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân.
Điều 45. Đánh giá tác động xử lý dữ liệu cá nhân
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
2. Đánh giá tác động xử lý dữ liệu cá nhân được thực hiện 01 lần cho suốt thời gian hoạt động của tổ chức, doanh nghiệp và được cập nhật theo quy định tại Điều 49 Luật này.
3. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện thay mặt cho Bên Kiểm soát dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
5. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân 01 bản chính trong thời gian 60 ngày làm việc kể từ ngày tiến hành xử lý dữ liệu cá nhân.
6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
8. Cơ quan nhà nước có thẩm quyền, đơn vị sự nghiệp công lập theo quy định của pháp luật, đơn vị thí điểm một số cơ chế, chính sách đặc biệt tạo đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đã được quy định theo luật, nghị quyết của Quốc hội được miễn trừ thực hiện quy định về đánh giá tác động tại Điều này, nhưng không bao gồm các doanh nghiệp nhà nước.
9. Chính phủ quy định chi tiết hồ sơ, điều kiện, trình tự, thủ tục Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
Điều 46. Chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài
1. Bên chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài là tổ chức, cáo nhân thực hiện chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, cho tổ chức, cá nhân nước ngoài.
2. Bên nhận dữ liệu cá nhân của công dân Việt Nam là tổ chức, cá nhân nhận dữ liệu cá nhân của công dân Việt Nam do Bên chuyển dữ liệu cá nhân ra nước ngoài thực hiện.
3. Các trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài:
a) Chuyển dữ liệu cá nhân của công dân Việt Nam đang lưu trữ tại Việt Nam tới hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam;
b) Cơ quan, tổ chức, cá nhân Việt Nam chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, cá nhân nước ngoài;
c) Cơ quan, tổ chức, cá nhân Việt Nam sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam.
4. Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, cho tổ chức, cá nhân nước ngoài được thực hiện 01 lần cho suốt thời gian hoạt động của tổ chức, doanh nghiệp và được cập nhật theo quy định tại Điều 49 Luật này.
5. Bên chuyển dữ liệu ra nước ngoài là tổ chức, cá nhân thực hiện các hoạt động nêu tại Khoản 1 Điều này phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
6. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân 01 bản chính trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
7. Căn cứ tình hình cụ thể, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Luật này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
8. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định yêu cầu ngừng chuyển dữ liệu ra nước ngoài của tổ chức, doanh nghiệp, cá nhân khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, quốc phòng, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam.
9. Cơ quan nhà nước có thẩm quyền, đơn vị sự nghiệp công lập theo quy định của pháp luật, đơn vị thí điểm một số cơ chế, chính sách đặc biệt tạo đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đã được quy định theo luật, nghị quyết của Quốc hội được miễn trừ thực hiện quy định về đánh giá tác động tại Điều này, nhưng không bao gồm các doanh nghiệp nhà nước.
10. Chính phủ quy định chi tiết hồ sơ, điều kiện, trình tự, thủ tục Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
Điều 47. Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được cập nhật định kỳ 06 tháng một (01) lần khi có sự thay đổi.
2. Các trường hợp thay đổi cần cập nhật ngay, gồm:
a) Khi công ty giải thể, sáp nhập;
b) Khi có sự thay đổi thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
c) Khi phát sinh ngành nghề, dịch vụ kinh doanh mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan tới dữ liệu cá nhân đã đăng ký trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
3. Việc cập nhật Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được thực hiện trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, gửi qua bưu chính hoặc trực tiếp tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Chương V
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 48. Biện pháp bảo vệ dữ liệu cá nhân
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Luật này và pháp luật có liên quan;
d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
đ) Các biện pháp khác theo quy định của pháp luật.
Điều 49. Biện pháp bảo vệ dữ liệu cá nhân cơ bản
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 48 Luật này.
2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Luật này.
3. Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân.
5. Cơ quan nhà nước có thẩm quyền được miễn trừ thực hiện quy định tại khoản 3 Điều này, nhưng không bao gồm các đơn vị sự nghiệp công lập, doanh nghiệp nhà nước.
Điều 50. Biện pháp bảo vệ dữ liệu cá nhân nhạy cảm
1. Áp dụng các biện pháp được quy định tại Điều 48 Luật này.
2. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Luật này.
4. Đánh giá tín nhiệm về bảo vệ dữ liệu cá nhân.
Điều 51. Tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân
1. Tiêu chuẩn về bảo vệ dữ liệu cá nhân gồm tiêu chuẩn đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành, xử lý, bảo đảm chất lượng dữ liệu cá nhân, bảo vệ dữ liệu cá nhân được công bố, thừa nhận áp dụng tại Việt Nam.
2. Quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân gồm quy chuẩn kỹ thuật đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành, xử lý, bảo đảm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân được xây dựng, ban hành và áp dụng tại Việt Nam.
3. Bộ Công an chủ trì, phối hợp với cơ quan có liên quan ban hành danh mục tiêu chuẩn, quy chuẩn kỹ thuật về dữ liệu cá nhân.
Điều 52. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là đơn vị chức năng thuộc Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện chức năng quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân là nơi cung cấp thông tin và tuyên truyền chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, thủ tục hành chính, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
3. Chính phủ quy định chi tiết nội dung khoản 1, 2 Điều này.
Điều 53. Lực lượng bảo vệ dữ liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức bảo vệ dữ liệu cá nhân theo quy định tại Điều 39 Luật này;
d) Chuyên gia bảo vệ dữ liệu cá nhân theo quy định tại Điều 39 Luật này;
đ) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
3. Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
Điều 54. Nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân
1. Nội dung nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân:
a) Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ bảo vệ dữ liệu cá nhân;
b) Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ dữ liệu cá nhân đạt chuẩn;
c) Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng;
d) Ghi nhận và quản lý sự tuân thủ quy định về bảo vệ dữ liệu cá nhân;
đ) Xây dựng Tiêu chuẩn về bảo vệ dữ liệu cá nhân;
e) Giải quyết nguy cơ lộ, mất dữ liệu cá nhân;
g) Sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về bảo vệ dữ liệu cá nhân;
h) Xử lý dữ liệu cá nhân phục vụ công tác thống kê, khoa học;
i) Nghiên cứu thực tiễn, phát triển lý luận bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân thực hiện nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân theo chức năng, nhiệm vụ được giao.
Điều 55. Nâng cao năng lực bảo vệ dữ liệu cá nhân
1. Nhà nước khuyến khích, tạo điều kiện để cơ quan, tổ chức, cá nhân nâng cao năng lực bảo vệ dữ liệu cá nhân và sử dụng dữ liệu cá nhân đúng pháp luật vào mục đích phát triển kinh tế, xã hội.
2. Biện pháp sau đây để nâng cao năng lực bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân:
a) Thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
b) Thúc đẩy ứng dụng công nghệ mới, công nghệ tiên tiến liên quan đến bảo vệ dữ liệu cá nhân;
c) Tổ chức đào tạo, phát triển và sử dụng nhân lực bảo vệ dữ liệu cá nhân;
d) Tăng cường môi trường kinh doanh, cải thiện điều kiện cạnh tranh hỗ trợ doanh nghiệp nghiên cứu, sản xuất sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
đ) Ban hành cơ chế, chính sách đúng quy định pháp luật nhằm sử dụng dữ liệu cá nhân phục vụ mục đích phát triển kinh tế, xã hội.
Điều 56. Giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân
Nhà nước có chính sách giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân trong phạm vi cả nước, khuyến khích cơ quan nhà nước phối hợp với tổ chức tư nhân, cá nhân thực hiện chương trình giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân .
Điều 57. Kiểm tra công tác bảo vệ dữ liệu cá nhân
1. Kiểm tra công tác bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, định kỳ, đột xuất, trong trường hợp sau đây:
a) Khi có hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
b) Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.
2. Đối tượng bảo vệ dữ liệu cá nhân bao gồm:
a) Cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân;
b) Tổ chức, cá nhân kinh doanh hoạt động xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân phải thực hiện hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
d) Tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân.
3. Nội dung kiểm tra công tác bảo vệ dữ liệu cá nhân:
a) Hiện trạng tuân thủ công tác bảo vệ dữ liệu cá nhân;
b) Hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
c) Hoạt động chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.
4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định kiểm tra và thông báo trước cho đối tượng kiểm tra quy định tại khoản 2 Điều này trước 15 ngày làm việc về thời gian, nội dung và thành phần đoàn kiểm tra.
5. Đối tượng được kiểm tra phải chuẩn bị đầy đủ các nội dung kiểm tra theo quy định của pháp luật.
6. Kết quả kiểm tra được bảo mật theo quy định của pháp luật.
Điều 58. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Kinh phí thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.
2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 59. Quản lý nhà nước về bảo vệ dữ liệu cá nhân
1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân;
2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, quyết định, đề án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân;
3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng và vận động xã hội bảo vệ dữ liệu cá nhân;
5. Xây dựng, đào tạo, bồi dưỡng đội ngũ cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân;
6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
7. Thống kê tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền;
8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Điều 60. Trách nhiệm của các bộ, ngành có liên quan
1. Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về dữ liệu cá nhân, trừ quy định tại khoản 3 Điều này;
3. Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về dữ liệu cá nhân thuộc phạm vi quản lý.
4. Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân và theo chức năng, nhiệm vụ được giao.
5. Ủy ban nhân dân cấp tỉnh thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.
Điều 61. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
1. Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu, bảo đảm đúng nguyên tắc và nội dung tại Luật này.
2. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
3. Lưu trữ và ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân bằng văn bản hoặc hình thức điện tử.
4. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 37 Luật này.
5. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
6. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 8 Luật này.
7. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
8. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 62. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Luật này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 63. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Điều 64. Trách nhiệm của Bên thứ Ba
1. Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Luật này.
2. Có biện pháp bảo vệ dữ liệu cá nhân trước các hành vi truy cập, thiết lộ, thay đổi hoặc xóa, hủy trái phép dữ liệu cá nhân.
3. Tổ chức đào tạo và nâng cao nhận thức về bảo vệ dữ liệu cá nhân.
4. Thực hiện kiểm tra, đánh giá định kỳ các biện pháp bảo vệ dữ liệu cá nhân để tuân thủ quy định của pháp luật.
5. Xây dựng quy trình và áp dụng các biện pháp xử lý sự cố dữ liệu nhanh chóng, hiệu quả trong trường hợp xảy ra vi phạm về bảo vệ dữ liệu cá nhân.
Điều 65. Trách nhiệm của tổ chức, cá nhân có liên quan
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Luật này.
3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
Chương VII
ĐIỀU KHOẢN THI HÀNH
Điều 66. Sửa đổi, bổ sung một số điều của các luật có liên quan
Sửa đổi, bổ sung Phụ lục số IV về Danh mục ngành, nghề kinh doanh có điều kiện theo Luật số 61/2020/QH14 như sau:
|
228 |
Dịch vụ xử lý dữ liệu cá nhân |
|
229 |
Dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân |
|
230 |
Dịch vụ Tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân |
Điều 67. Hiệu lực thi hành
Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.
Điều 68. Quy định chuyển tiếp
1. Các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 05 năm đầu kể từ khi thành lập doanh nghiệp.
2. Các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
3. Trong thời gian 01 năm kể từ khi Luật này có hiệu lực, cơ quan, tổ chức, doanh nghiệp được miễn trừ quy định về có tối thiểu 01 Chuyên gia bảo vệ dữ liệu cá nhân theo quy định tại khoản 2 Điều 39 Luật này.
Luật này được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ thông qua ngày tháng năm 2025.
|
|
CHỦ TỊCH QUỐC HỘI |
DỰ THẢO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN
(Trình Quốc hội ngày 06/4/2025)
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
Điều 2. Giải thích từ ngữ
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Điều 5. Áp dụng pháp luật về bảo vệ dữ liệu cá nhân
Điều 6. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
Điều 7. Hành vi bị nghiêm cấm
Chương II
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 8. Quyền của chủ thể dữ liệu
Điều 9. Nghĩa vụ của chủ thể dữ liệu
CHƯƠNG III
BẢO VỆ DỮ LIỆU CÁ NHÂNTRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 10. Sự đồng ý của chủ thể dữ liệu
Điều 11. Rút lại sự đồng ý
Điều 12. Thu thập, phân loại, thông báo xử lý dữ liệu cá nhân
Điều 13. Phân tích, tổng hợp dữ liệu cá nhân
Điều 14. Công khai dữ liệu cá nhân
Điều 15. Mã hóa, giải mã dữ liệu cá nhân
Điều 16. Cung cấp dữ liệu cá nhân
Điều 17. Chỉnh sửa dữ liệu cá nhân
Điều 18. Lưu trữ, xóa, hủy dữ liệu cá nhân
Điều 19. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
Điều 20. Cơ chế giám sát khi xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
Điều 21. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
Điều 22. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
Điều 23. Xử lý dữ liệu cá nhân của trẻ em
Điều 24. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị
Điều 25. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể
Điều 26. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
Điều 27. Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo
Điều 28. Bảo vệ dữ liệu cá nhân trong điện toán đám mây
Điều 29. Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động
Điều 30. Bảo vệ dữ liệu cá nhân trong hoạt động ngân hàng, tài chính, tín dụng, thông tin tín dụng
Điều 31. Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm
Điều 32. Hợp đồng xử lý dữ liệu cá nhân với chủ thể dữ liệu
Điều 33. Dữ liệu vị trí
Điều 34. Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến
Điều 35. Dữ liệu sinh trắc học
Điều 36. Phòng, chống thu thập, chuyển giao trái phép
Điều 37. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
CHƯƠNG IV
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNHSỬ DỤNG DỮ LIỆU CÁ NHÂN
Điều 38. Sử dụng dữ liệu cá nhân trong hoạt động kinh doanh
Điều 39. Chuyên gia bảo vệ dữ liệu cá nhân
Điều 41. Tổ chức bảo vệ dữ liệu cá nhân, Chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân
Điều 42. Kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân
Điều 43. Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân
Điều 44. Dịch vụ xử lý dữ liệu cá nhân
Điều 45. Đánh giá tác động xử lý dữ liệu cá nhân
Điều 46. Chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài
Điều 47. Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
CHƯƠNG V
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 48. Biện pháp bảo vệ dữ liệu cá nhân
Điều 49. Biện pháp bảo vệ dữ liệu cá nhân cơ bản
Điều 50. Biện pháp bảo vệ dữ liệu cá nhân nhạy cảm
Điều 51. Tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân
Điều 52. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
Điều 53. Lực lượng bảo vệ dữ liệu cá nhân
Điều 54. Nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân
Điều 55. Nâng cao năng lực bảo vệ dữ liệu cá nhân
Điều 56. Giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân
Điều 57. Kiểm tra công tác bảo vệ dữ liệu cá nhân
Điều 58. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 59. Quản lý nhà nước về bảo vệ dữ liệu cá nhân
Điều 61. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
Điều 62. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
Điều 63. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Điều 64. Trách nhiệm của Bên thứ Ba
Điều 65. Trách nhiệm của tổ chức, cá nhân có liên quan
Chương VII
ĐIỀU KHOẢN THI HÀNH
Điều 66. Sửa đổi, bổ sung một số điều của các luật có liên quan
Điều 67. Hiệu lực thi hành
Điều 68. Quy định chuyển tiếp
