Đăng xuất
Việc làm Hồ Chí Minh
Quyết định 34/2026/QĐ-UBND về Quy chế bảo vệ dữ liệu cá nhân trong hoạt động của cơ quan nhà nước trên địa bàn tỉnh Thanh Hóa
| Số hiệu | 34/2026/QĐ-UBND |
| Ngày ban hành | 30/04/2026 |
| Ngày có hiệu lực | 10/05/2026 |
| Loại văn bản | Quyết định |
| Cơ quan ban hành | Tỉnh Thanh Hóa |
| Người ký | Nguyễn Hoài Anh |
| Lĩnh vực | Công nghệ thông tin,Quyền dân sự |
|
UỶ BAN NHÂN DÂN
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 34/2026/QĐ-UBND |
Thanh Hoá, ngày 30 tháng 04 năm 2026 |
Căn cứ Luật Tổ chức Chính quyền địa phương số 72/2025/QH15;
Căn cứ Luật Ban hành văn bản quy phạmpháp luật số 64/2025/QH15 được sửa đổi, bổ sung bởi Luật số 87/2025/QH15;
Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;
Căn cứ Luật An ninh mạng số 116/2025/QH15;
Căn cứ Luật Dữ liệu số 60/2024/QH15;
Căn cứ Luật Giao dịch điện tử số 20/2023/QH15;
Căn cứ Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân;
Căn cứ Nghị định số 165/2025/NĐ-CP ngày 30/6/2025 của Chính phủ quy định chi tiết một số biện pháp thi hành Luật Dữ liệu;
Căn cứ Nghị định số 78/2025/NĐ-CP ngày 01/4/2025 của Chính phủ quy định chi tiết một số điều và biện pháp để tổ chức, hướng dẫn thi hành Luật Ban hành văn bản quy phạm pháp luật;
Căn cứ Nghị định số 187/2025/NĐ-CP ngày 01/7/2025 của Chính phủ về sửa đổi, bổ sung một số điều của Nghị định số 78/2025/NĐ-CP ngày 01/4/2025 của Chính phủ quy định chi tiết một số điều và biện pháp để tổ chức, hướng dẫn thi hành Luật Ban hành văn bản quy phạmpháp luật và Nghị định số 79/2025/NĐ- CP của Chính phủ về kiểm tra, rà soát, hệ thống hóa và xử lý văn bản quy phạm pháp luật;
Theo đề nghị của Giám đốc Công an tỉnh Thanh Hóa tại Tờ trình số 156/TTr-CAT-ANM&PCTPSDCNC ngày 17/4/2026;
Ủy ban nhân dân tỉnh Thanh Hóa ban hành Quy chế bảo vệ dữ liệu cá nhân trong hoạt động của cơ quan nhà nước trên địa bàn tỉnh Thanh Hóa.
Điều 2. Quyết định này có hiệu lực kể từ ngày 10 tháng 5 năm 2026.
|
|
TM. ỦY BAN NHÂN
DÂN |
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG CỦA CƠ QUAN NHÀ NƯỚC
TRÊN ĐỊA BÀN TỈNH THANH HÓA
(Ban hành kèm theo Quyết định số 34/2026/QĐ-UBND ngày 30/04/2026 của UBND tỉnh)
1. Quy chế này quy định về nguyên tắc, nội dung, trách nhiệm bảo vệ dữ liệu cá nhân trong hoạt động của cơ quan nhà nước trên địa bàn tỉnh Thanh Hóa.
2. Những nội dung không được quy định trong Quy chế này thì thực hiện theo các văn bản quy phạm pháp luật hiện hành có liên quan.
|
UỶ BAN NHÂN DÂN
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 34/2026/QĐ-UBND |
Thanh Hoá, ngày 30 tháng 04 năm 2026 |
Căn cứ Luật Tổ chức Chính quyền địa phương số 72/2025/QH15;
Căn cứ Luật Ban hành văn bản quy phạmpháp luật số 64/2025/QH15 được sửa đổi, bổ sung bởi Luật số 87/2025/QH15;
Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;
Căn cứ Luật An ninh mạng số 116/2025/QH15;
Căn cứ Luật Dữ liệu số 60/2024/QH15;
Căn cứ Luật Giao dịch điện tử số 20/2023/QH15;
Căn cứ Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân;
Căn cứ Nghị định số 165/2025/NĐ-CP ngày 30/6/2025 của Chính phủ quy định chi tiết một số biện pháp thi hành Luật Dữ liệu;
Căn cứ Nghị định số 78/2025/NĐ-CP ngày 01/4/2025 của Chính phủ quy định chi tiết một số điều và biện pháp để tổ chức, hướng dẫn thi hành Luật Ban hành văn bản quy phạm pháp luật;
Căn cứ Nghị định số 187/2025/NĐ-CP ngày 01/7/2025 của Chính phủ về sửa đổi, bổ sung một số điều của Nghị định số 78/2025/NĐ-CP ngày 01/4/2025 của Chính phủ quy định chi tiết một số điều và biện pháp để tổ chức, hướng dẫn thi hành Luật Ban hành văn bản quy phạmpháp luật và Nghị định số 79/2025/NĐ- CP của Chính phủ về kiểm tra, rà soát, hệ thống hóa và xử lý văn bản quy phạm pháp luật;
Theo đề nghị của Giám đốc Công an tỉnh Thanh Hóa tại Tờ trình số 156/TTr-CAT-ANM&PCTPSDCNC ngày 17/4/2026;
Ủy ban nhân dân tỉnh Thanh Hóa ban hành Quy chế bảo vệ dữ liệu cá nhân trong hoạt động của cơ quan nhà nước trên địa bàn tỉnh Thanh Hóa.
Điều 2. Quyết định này có hiệu lực kể từ ngày 10 tháng 5 năm 2026.
|
|
TM. ỦY BAN NHÂN
DÂN |
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG CỦA CƠ QUAN NHÀ NƯỚC
TRÊN ĐỊA BÀN TỈNH THANH HÓA
(Ban hành kèm theo Quyết định số 34/2026/QĐ-UBND ngày 30/04/2026 của UBND tỉnh)
1. Quy chế này quy định về nguyên tắc, nội dung, trách nhiệm bảo vệ dữ liệu cá nhân trong hoạt động của cơ quan nhà nước trên địa bàn tỉnh Thanh Hóa.
2. Những nội dung không được quy định trong Quy chế này thì thực hiện theo các văn bản quy phạm pháp luật hiện hành có liên quan.
1. Các sở, ban, ngành, đơn vị cấp tỉnh, UBND các xã, phường (sau đây gọi tắt là cơ quan, đơn vị, địa phương).
2. Cán bộ, công chức, viên chức và người lao động đang công tác trong các cơ quan, đơn vị, địa phương nêu tại Khoản 1 Điều này và các tổ chức, cá nhân có liên quan áp dụng Quy chế này trong quá trình thu thập, lưu trữ, xử lý dữ liệu cá nhân trong hoạt động của các cơ quan, đơn vị, địa phương, nêu tại Khoản 1 Điều này.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Việc thu thập, xử lý, sử dụng dữ liệu cá nhân trong hoạt động của các cơ quan, đơn vị, địa phương phải đúng phạm vi, mục đích cụ thể, rõ ràng, tuân thủ đầy đủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân, an ninh mạng; tuân thủ các quy định của pháp luật chuyên ngành có liên quan và các quy định tại Quy chế này.
2. Mỗi cán bộ, công chức, viên chức trong các cơ quan, đơn vị cần nêu cao tinh thần chủ động, tự giác thực hiện các biện pháp bảo vệ dữ liệu cá nhân; kịp thời ngăn chặn, phát hiện, báo cáo cơ quan, người có thẩm quyền xử lý các hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
Điều 4. Xác định và phân loại dữ liệu cá nhân được xử lý trong các cơ quan nhà nước của tỉnh
1. Các cơ quan, đơn vị, địa phương có hoạt động lưu trữ, xử lý dữ liệu cá nhân có trách nhiệm rà soát, phân loại dữ liệu cá nhân (bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm). Việc xử lý dữ liệu cá nhân nhạy cảm phải được thiết lập quy trình bảo vệ độc lập, phân quyền truy cập, khai thác nghiêm ngặt và tuân thủ các điều kiện chặt chẽ theo quy định của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và các quy định pháp luật có liên quan.
2. Dữ liệu cá nhân được thu thập, lưu trữ, xử lý trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh bao gồm:
a) Dữ liệu cá nhân được thu thập, tiếp nhận, tạo lập, lưu trữ, quản lý, khai thác trong quá trình thực hiện chức năng, nhiệm vụ quản lý nhà nước theo quy định pháp luật của các cơ quan, đơn vị, địa phương thuộc tỉnh.
b) Dữ liệu cá nhân của cán bộ, công chức, viên chức, người lao động làm việc tại các cơ quan, đơn vị, địa phương trên địa bàn tỉnh theo quy định của pháp luật về công chức, viên chức và các quy định pháp luật khác có liên quan.
c) Thông tin về tài khoản số, tài khoản giao dịch điện tử của cá nhân và dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên các hệ thống thông tin do các cơ quan, đơn vị, địa phương làm chủ quản theo quy định của pháp luật.
d) Dữ liệu cá nhân khác phát sinh trong quá trình các cơ quan, đơn vị, địa phương thực hiện chức năng, nhiệm vụ, quyền hạn được giao mà không thuộc các quy định nêu tại Điểm a, b và c Khoản này.
3. Các trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu được quy định trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15:
a) Xử lý dữ liệu cá nhân thuộc Điểm a, b và c Khoản 2 Điều này theo quy định tại Điểm c, Khoản 1, Điều 19, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
b) Xử lý dữ liệu cá nhân thu được từ việc ghi âm, ghi hình công cộng theo quy định tại Điều 32, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
c) Trường hợp xử lý dữ liệu cá nhân khác không cần sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 19, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
4. Việc xử lý dữ liệu cá nhân ngoài các trường hợp quy định tại Khoản 3 Điều này phải được sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
Điều 5. Xác định vai trò về bảo vệ dữ liệu cá nhân trong cơ quan nhà nước
Cơ quan, đơn vị, địa phương có hoạt động xử lý dữ liệu cá nhân căn cứ quy định pháp luật có trách nhiệm chủ động xác định vai trò là “Bên kiểm soát dữ liệu cá nhân”, “Bên xử lý dữ liệu cá nhân” và “Bên kiểm soát và xử lý dữ liệu cá nhân” đối với: Dữ liệu cá nhân được thu thập, lưu trữ, xử lý thuộc phạm vi chức năng, nhiệm vụ được giao theo quy định; dữ liệu cá nhân được thu thập, lưu trữ, xử lý trong quá trình thực hiện chức năng, nhiệm vụ được quy định tại Khoản 2, Điều 4 của Quy chế này.
1. Cơ quan, đơn vị, địa phương sử dụng hệ thống thông tin có chức năng xử lý dữ liệu cá nhân có trách nhiệm xác định cá nhân được cấp quyền truy cập hệ thống để thực hiện nhiệm vụ xử lý dữ liệu cá nhân. Khi có thay đổi về nhân sự được phân công công việc liên quan đến xử lý dữ liệu cá nhân, phải điều chỉnh hoặc thu hồi ngay quyền truy cập của người dùng đó.
2. Cá nhân được cấp tài khoản truy cập hệ thống thông tin để xử lý dữ liệu cá nhân có trách nhiệm:
a) Bảo mật thông tin xác thực của tài khoản được cấp; không cung cấp thông tin xác thực cho người không có thẩm quyền hoặc không được giao nhiệm vụ đối với hệ thống thông tin.
b) Chỉ thực hiện các hoạt động xử lý dữ liệu cá nhân trong phạm vi nhiệm vụ được giao; không tự ý khai thác, sử dụng dữ liệu cá nhân trên hệ thống ngoài phạm vi trách nhiệm, nhiệm vụ được phân công.
c) Chỉ xử lý dữ liệu cá nhân trên các trang thiết bị, máy tính trong hệ thống thông tin xử lý dữ liệu cá nhân được bảo đảm an toàn, an ninh mạng theo quy định pháp luật.
d) Khi không còn nhiệm vụ xử lý dữ liệu cá nhân trên hệ thống, phải yêu cầu đơn vị quản lý hệ thống thu hồi hoặc thay đổi quyền truy cập kịp thời.
1. Việc xử lý dữ liệu cá nhân bên ngoài các hệ thống thông tin phải tuân thủ các yêu cầu sau:
a) Trước khi thu thập, lưu trữ, xử lý dữ liệu cá nhân, phải xác định rõ cơ sở pháp lý cho mục đích và phạm vi dữ liệu cá nhân được phép xử lý.
b) Trường hợp nhận được yêu cầu thu thập, xử lý dữ liệu cá nhân ngoài phạm vi được pháp luật quy định, đơn vị thực hiện phải làm rõ cơ sở thực hiện với bên yêu cầu xử lý; đồng thời phải có sự đồng ý của chủ thể dữ liệu trước khi tiến hành xử lý dữ liệu ngoài phạm vi nói trên.
2. Công chức, viên chức được phân công xử lý dữ liệu cá nhân có trách nhiệm thực hiện đầy đủ các biện pháp bảo đảm an toàn, bảo mật trong quá trình xử lý, cụ thể như sau:
a) Không cung cấp hoặc chia sẻ dữ liệu cá nhân đã thu thập cho bất kỳ tổ chức, cá nhân nào ngoài phạm vi được phép cung cấp theo quy định của pháp luật.
b) Trường hợp được phép thực hiện trao đổi dữ liệu cá nhân trên môi trường mạng hoặc mang dữ liệu cá nhân ra khỏi cơ quan, đơn vị, địa phương bằng thiết bị, phương tiện điện tử (trừ dữ liệu thuộc danh mục bí mật nhà nước thực hiện theo quy định của pháp luật về bảo vệ bí mật nhà nước), cần phải áp dụng biện pháp mã hóa tệp dữ liệu và các biện pháp an toàn khác theo quy định pháp luật. Không sử dụng mạng xã hội để trao đổi dữ liệu cá nhân, trừ trường hợp được sự đồng ý của chủ thể dữ liệu.
c) Kiểm soát chặt chẽ các phiên bản dữ liệu cá nhân ở dạng điện tử và dạng phi điện tử; chủ động thiết lập, giới hạn quyền tiếp cận dữ liệu cá nhân trong phạm vi những người được phân công xử lý; thực hiện các biện pháp xóa an toàn dữ liệu hoặc hủy vật lý thiết bị lưu trữ, xử lý dữ liệu cá nhân sau khi hoàn thành mục đích sử dụng, hết hạn lưu trữ theo quy định hoặc không còn nhu cầu sử dụng thiết bị.
Điều 8. Bảo đảm an toàn hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân
Các hệ thống thông tin của cơ quan, đơn vị, địa phương có thu thập, lưu trữ, xử lý dữ liệu cá nhân phải thực hiện yêu cầu bảo đảm an toàn hệ thống thông tin như sau:
1. Thực hiện bảo đảm an toàn, an ninh mạng đối với hệ thống thông tin theo cấp độ và bảo vệ an ninh mạng đối với các hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân theo đúng quy định của pháp luật về an ninh mạng. Cụ thể, hệ thống thông tin phải đáp ứng các yêu cầu bảo vệ ở cấp độ tương ứng theo quy định hiện hành; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng. Đối với các hệ thống thông tin do UBND tỉnh làm chủ quản, thực hiện theo các quy định tại Quy chế bảo đảm an ninh mạng của UBND tỉnh (nếu có); đối với hệ thống thông tin do cơ quan, đơn vị cấp dưới làm chủ quản hoặc được phân cấp, ủy quyền quản lý theo quy định pháp luật thì thực hiện theo quy chế bảo đảm an ninh mạng của đơn vị chủ quản đó.
2. Hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân phải có tính năng ghi và lưu trữ nhật ký hệ thống trong quá trình xử lý dữ liệu cá nhân; khuyến khích thiết kế để hiển thị trên giao diện người dùng thông tin về căn cứ pháp lý của việc xử lý dữ liệu cá nhân.
3. Áp dụng các biện pháp xác thực, mã hóa để bảo vệ dữ liệu cá nhân trong quá trình truyền đưa qua các kênh kết nối giữa các hệ thống thông tin với nhau và giữa người dùng với hệ thống thông tin.
4. Không được xử lý dữ liệu cá nhân trên hệ thống thông tin thử nghiệm hoặc trong quá trình thử nghiệm giải pháp phần mềm trừ trường hợp được cho phép theo quy định. Trường hợp cần thử nghiệm, chỉ được phép sử dụng dữ liệu không phải dữ liệu cá nhân, dữ liệu cá nhân đã được khử nhận dạng hoặc áp dụng kỹ thuật ẩn danh dữ liệu cá nhân tuân theo quy chuẩn và quy định của pháp luật.
5. Việc kiểm tra, đánh giá an ninh mạng định kỳ đối với hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân phải bao gồm kiểm tra việc tuân thủ quy định pháp luật về bảo vệ dữ liệu cá nhân.
6. Thực hiện xóa an toàn toàn bộ dữ liệu cá nhân trên hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân khi hệ thống kết thúc vận hành, trừ trường hợp được phép lưu trữ theo quy định pháp luật.
7. Triển khai các giải pháp, phần mềm phòng chống mã độc trên máy chủ và máy trạm của hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân tuân thủ quy định pháp luật về an ninh mạng.
8. Cơ quan, đơn vị quản lý hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân có trách nhiệm trang bị và duy trì các hệ thống giám sát an ninh mạng, hệ thống ngăn chặn thất thoát dữ liệu đối với hệ thống thông tin xử lý dữ liệu cá nhân từ cấp độ 3 trở lên để theo dõi liên tục hoạt động của hệ thống mạng, máy chủ. Các hệ thống này phải được cấu hình để phát hiện các hành vi bất thường hoặc truy cập trái phép vào dữ liệu và đưa ra cảnh báo sớm để có biện pháp xử lý kịp thời.
9. Các thành phần, thiết bị, phần mềm, ứng dụng thuộc hệ thống thông tin có chức năng thu thập, lưu trữ, xử lý dữ liệu cá nhân phải được kiểm tra, đánh giá an ninh mạng trước khi đưa vào vận hành và được kiểm tra, đánh giá định kỳ hoặc đột xuất khi có thay đổi cấu hình, phát sinh sự cố, sửa chữa, bảo dưỡng hoặc theo yêu cầu của cấp có thẩm quyền.
10. Tổ chức đánh giá an ninh mạng đối với hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân định kỳ, đột xuất theo yêu cầu của cơ quan có thẩm quyền, kịp thời phát hiện các lỗ hổng bảo mật, điểm yếu trong hệ thống thông tin, triển khai, áp dụng các biện pháp tương ứng để khắc phục, phòng ngừa rủi ro, nguy cơ lộ, mất dữ liệu cá nhân.
11. Định kỳ bảo trì, bảo dưỡng, nâng cấp phần cứng, phần mềm của hệ thống thông tin. Kịp thời cập nhật các bản vá bảo mật cho hệ điều hành, cơ sở dữ liệu và ứng dụng, duy trì, cải thiện hiệu suất và tính bảo mật của hệ thống.
Điều 9. Bảo vệ dữ liệu cá nhân đối với cổng, trang thông tin điện tử, dịch vụ công trực tuyến
Các cơ quan, đơn vị quản lý, vận hành cổng, trang thông tin điện tử, cổng dịch vụ công trực tuyến của tỉnh có trách nhiệm triển khai các biện pháp kiểm soát, ngăn ngừa việc hiển thị hoặc công khai dữ liệu cá nhân không đúng quy định trên các cổng, trang thông tin này; rà soát dữ liệu cá nhân trong nội dung, biểu mẫu, hồ sơ, tài khoản, chức năng tra cứu thông tin trước khi đăng tải hoặc cung cấp cho người sử dụng. Cụ thể, cần thực hiện các biện pháp sau:
1. Bổ sung vào quy trình biên tập tin, bài viết yêu cầu phải rà soát dữ liệu cá nhân trong nội dung bài viết trước khi đăng trên cổng, trang thông tin điện tử. Không đăng công khai dữ liệu cá nhân nhạy cảm trên cổng, trang thông tin điện tử, dịch vụ công trực tuyến, trừ trường hợp pháp luật quy định.
2. Rà soát, bảo đảm các trường thông tin được hiển thị công khai trên cổng, trang thông tin điện tử, cổng dịch vụ công trực tuyến không vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Khuyến khích tích hợp chức năng cảnh báo rủi ro lộ lọt dữ liệu cá nhân đối với các chuyên mục có khả năng công khai thông tin do người dùng nhập. Trường hợp người dùng có xu hướng nhập thông tin chứa dữ liệu cá nhân, hệ thống nên cảnh báo về nguy cơ lộ lọt. Đồng thời, áp dụng các công cụ kỹ thuật để kiểm soát việc hiển thị nội dung có chứa dữ liệu cá nhân trên cổng, trang thông tin điện tử, dịch vụ công trực tuyến của tỉnh.
Điều 10. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Khi phát hiện dấu hiệu hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân hoặc dấu hiệu vi phạm trong hoạt động xử lý dữ liệu cá nhân, cơ quan, đơn vị, địa phương phối hợp xác định, thông báo, xử lý như sau:
1. Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thực hiện thông báo vi phạm về bảo vệ dữ liệu cá nhân theo Khoản 2 Điều này. Trường hợp chưa xác định được trách nhiệm thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân thì báo cáo UBND tỉnh (qua Công an tỉnh) để phối hợp đánh giá, xác định chủ thể thực hiện trách nhiệm thông báo vi phạm về bảo vệ dữ liệu cá nhân theo Khoản 2 Điều này.
2. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân cho Bộ Công an thực hiện theo Điều 23, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Điều 28, Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân (trong vòng 72 giờ kể từ khi phát hiện vi phạm, cơ quan có thẩm quyền phải gửi Thông báo vi phạm theo Mẫu 08 tại phụ lục kèm theo Nghị định số 356/2025/NĐ-CP đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao). Công an tỉnh tham mưu, giúp UBND tỉnh thực hiện theo dõi, đôn đốc việc thông báo này khi có vụ việc vi phạm xảy ra trên địa bàn tỉnh.
Điều 11. Trách nhiệm của các cơ quan, đơn vị và cá nhân trong bảo vệ dữ liệu cá nhân
1. Công an tỉnh là cơ quan tham mưu, giúp UBND tỉnh quản lý nhà nước về bảo vệ dữ liệu cá nhân trên địa bàn tỉnh, có trách nhiệm:
a) Tham mưu, giúp UBND tỉnh tổ chức triển khai công tác bảo vệ dữ liệu cá nhân trong phạm vi toàn tỉnh; hướng dẫn, đôn đốc, kiểm tra, đánh giá các cơ quan, đơn vị trong việc thực hiện Quy chế này và tuân thủ các quy định pháp luật, hướng dẫn của Bộ Công an về bảo vệ dữ liệu cá nhân. Kịp thời báo cáo, đề xuất UBND tỉnh sửa đổi, bổ sung Quy chế này khi cần thiết, bảo đảm phù hợp với các quy định, tiêu chuẩn, quy chuẩn kỹ thuật liên quan và với tình hình thực tế triển khai tại địa phương.
b) Phối hợp với các cơ quan, đơn vị tổ chức tuyên truyền, phổ biến và nâng cao nhận thức của cán bộ, công chức, viên chức, các tổ chức, cá nhân khác trong phạm vi quản lý của tỉnh về các quy định pháp luật về bảo vệ dữ liệu cá nhân trên địa bàn tỉnh.
c) Hướng dẫn, đôn đốc các cơ quan, đơn vị được UBND tỉnh giao trực tiếp quản lý, vận hành hệ thống thông tin do UBND tỉnh làm chủ quản (ngoại trừ các hệ thống thông tin UBND tỉnh đã phân cấp, ủy quyền cho đơn vị khác quản lý theo quy định) triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm hệ thống thông tin đáp ứng quy định của pháp luật về bảo vệ dữ liệu cá nhân và Quy chế này.
d) Thực hiện chế độ thông tin, báo cáo, tổng hợp về công tác bảo vệ dữ liệu cá nhân trên địa bàn, trình UBND tỉnh để gửi báo cáo cho các cơ quan cấp trên có thẩm quyền theo quy định.
đ) Chỉ định đơn vị, bộ phận chuyên trách và nhân sự phụ trách công tác bảo vệ dữ liệu cá nhân tại Công an tỉnh để thực hiện nhiệm vụ đầu mối triển khai, hướng dẫn, giám sát việc bảo vệ dữ liệu cá nhân trong phạm vi toàn tỉnh. Thông tin về bộ phận và cán bộ phụ trách được thông báo tới Cơ quan chuyên trách bảo vệ dữ liệu cá nhân của Bộ Công an và UBND tỉnh để tham mưu, phối hợp thực hiện về công tác bảo vệ dữ liệu cá nhân trên địa bàn tỉnh.
e) Phối hợp với các đơn vị kiểm tra an ninh mạng đối với các trang, thiết bị thuộc hệ thống thông tin có chức năng thu thập, lưu trữ, xử lý dữ liệu cá nhân trước khi đưa vào sử dụng và sau khi tiến hành bảo dưỡng, sửa chữa, nâng cấp.
2. Sở Tài chính chủ trì, phối hợp với Công an tỉnh và các cơ quan, đơn vị liên quan tham mưu cho UBND tỉnh bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách nhà nước và quy định của pháp luật về ngân sách nhà nước hiện hành.
3. Sở Nội vụ phối hợp với Công an tỉnh và các cơ quan, đơn vị, địa phương có liên quan tham mưu cho UBND tỉnh, Chủ tịch UBND tỉnh xem xét biểu dương, khen thưởng đối với tập thể, cá nhân có thành tích trong công tác bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
4. Các sở,ban,ngành,đơn vị cấp tỉnh và UBND các xã, phường có trách nhiệm:
a) Tổ chức triển khai, giám sát và kiểm tra việc thực hiện Quy chế này và các quy định pháp luật về bảo vệ dữ liệu cá nhân tại cơ quan, đơn vị mình và các đơn vị trực thuộc (nếu có).
b) Rà soát, đánh giá các quy trình thu thập, xử lý dữ liệu cá nhân trong phạm vi quản lý, thực hiện các biện pháp bảo vệ dữ liệu cá nhân phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của cơ quan, đơn vị mình. Kịp thời thông báo cho cơ quan có thẩm quyền khi phát hiện các hành vi chuyển giao, mua bán trái phép dữ liệu cá nhân thuộc phạm vi quản lý.
c) Định kỳ, đột xuất báo cáo tình hình bảo vệ dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền; đồng thời gửi báo cáo cho Công an tỉnh thực hiện công tác tham mưu, giúp UBND tỉnh thực hiện công tác quản lý nhà nước về bảo vệ dữ liệu cá nhân trên địa bàn tỉnh.
d) Rà soát, bố trí nhân sự, giao đầu mối hoặc bộ phận thực hiện bảo vệ dữ liệu cá nhân của đơn vị, bảo đảm đáp ứng điều kiện năng lực và yêu cầu chuyên môn về bảo vệ dữ liệu cá nhân, được tham gia bồi dưỡng, tập huấn về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
đ) Chủ động rà soát, đánh giá các hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân thuộc phạm vi quản lý; phối hợp với Công an tỉnh trong việc hướng dẫn, kiểm tra, đánh giá và triển khai các nội dung, phương án của đơn vị, địa phương trong bảo đảm hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân đáp ứng quy định của pháp luật và Quy chế này; định kỳ thực hiện kiểm tra, đánh giá an ninh mạng đối với các thành phần phần cứng, phần mềm đối với hệ thống thông tin thu thập, lưu trữ, xử lý dữ liệu cá nhân thuộc đơn vị, địa phương quản lý.
e) Trường hợp đơn vị thực hiện vai trò bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu hoặc bên xử lý dữ liệu cá nhân, đơn vị phải thực hiện các trách nhiệm tương ứng được quy định tại Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân và tại Quy chế này.
g) Trường hợp cơ quan, đơn vị, địa phương trong tỉnh ký kết thỏa thuận hoặc hợp đồng với tổ chức, cá nhân khác để thực hiện hoạt động xử lý dữ liệu cá nhân (thuộc trường hợp được cho phép theo quy định pháp luật), đơn vị đó có trách nhiệm yêu cầu bên xử lý dữ liệu cá nhân cung cấp thông tin, tài liệu liên quan đến Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân do bên xử lý dữ liệu cá nhân thực hiện để phục vụ quản lý nhà nước (nếu hoạt động xử lý dữ liệu cá nhân thuộc trường hợp phải đánh giá tác động theo quy định). Công an tỉnh là đơn vị tham mưu, giúp UBND tỉnh tổng hợp các hồ sơ này để phục vụ công tác giám sát chung và tham mưu thực hiện công tác bảo vệ dữ liệu cá nhân trên địa bàn tỉnh.
5. Giám đốc các sở, Thủ trưởng các cơ quan, đơn vị, Chủ tịch UBND các xã, phường chịu trách nhiệm trước UBND tỉnh, Chủ tịch UBND tỉnh về việc đảm bảo công tác bảo vệ dữ liệu cá nhân tại cơ quan, đơn vị mình quản lý, bảo đảm tuân thủ đúng quy định của pháp luật và Quy chế này.
6. Cán bộ, công chức, viên chức, người lao động trong các cơ quan nhà nước trên địa bàn tỉnh có trách nhiệm:
a) Tuân thủ nghiêm các quy định của pháp luật về bảo vệ dữ liệu cá nhân và các quy định tại Quy chế này trong quá trình thực thi nhiệm vụ.
b) Thực hiện đúng quyền và nghĩa vụ của chủ thể dữ liệu đối với dữ liệu cá nhân của bản thân theo quy định pháp luật.
c) Chủ động áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong phạm vi công việc của mình; khi phát hiện dữ liệu cá nhân có nguy cơ bị lộ, lọt hoặc không được bảo vệ đúng quy định, phải báo cáo ngay với bộ phận phụ trách và yêu cầu đơn vị quản lý dữ liệu có biện pháp khắc phục kịp thời, đúng quy định.
d) Thông báo kịp thời cho thủ trưởng cơ quan, đơn vị về các trường hợp vi phạm quy định bảo vệ dữ liệu cá nhân xảy ra tại đơn vị. Chịu trách nhiệm trước pháp luật và trước cơ quan quản lý về những vi phạm hoặc tổn thất, mất mát dữ liệu cá nhân do mình gây ra do không tuân thủ các quy định của Quy chế này và của pháp luật liên quan.
7. Cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ bị xem xét xử lý kỷ luật (đối với cán bộ, công chức, viên chức) và bị xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự theo quy định của pháp luật, tùy theo tính chất, mức độ vi phạm. Trường hợp gây thiệt hại cho người có dữ liệu cá nhân bị xâm phạm thì phải bồi thường theo quy định của Bộ luật Dân sự và các quy định pháp luật có liên quan.
1. Thủ trưởng, người đứng đầu các cơ quan, đơn vị, địa phương có trách nhiệm phổ biến, quán triệt đến cán bộ, công chức, viên chức, người lao động thuộc phạm vi quản lý các quy định của pháp luật về bảo vệ dữ liệu cá nhân và Quy chế này để thực hiện. Định kỳ hằng năm báo cáo UBND tỉnh (qua Công an tỉnh) kết quả thực hiện.
2. Trong quá trình thực hiện Quy chế này, nếu phát sinh khó khăn, vướng mắc, các cơ quan, đơn vị, địa phương và tổ chức, cá nhân có liên quan kịp thời báo cáo UBND tỉnh (qua Công an tỉnh) để theo dõi, chỉ đạo hoặc điều chỉnh, bổ sung./.
