I. Địa giới Bắc Ninh qua các thời kỳ lịch sử
Bắc Ninh là một tỉnh đồng bằng thuộc châu thổ Bắc Bộ, tiếp giáp tỉnh Bắc Giang ở phía Bắc và Đông Bắc, với tỉnh Hải Dương và Hưng Yên ở phía Đông Nam và Nam, với thủ đô Hà Nội ở phía Tây và Tây Bắc. Bắc Ninh là vùng đất ngàn năm văn hiến; có gần 700 người đỗ trạng, nghè, cống, có Cổ Loa, Luy Lâu, Long Biên đã là Thủ đô của nước Việt Nam; thời Bắc thuộc có nền kinh tế và văn hóa phát triển, một địa bàn quân sự trọng yếu của đất nước. Suốt mấy nghìn năm dựng nước và giữ nước, nhân dân địa phương từ đời này đến đời khác đã đổ nhiều xương máu đánh đuổi kẻ thù xâm lược để giữ vững chủ quyền độc lập của Tổ quốc, quê hương; lao động tích cực và sáng tạo phát triển kinh tế, văn hóa, xã hội xây dựng cuộc sống ngày càng phồn thịnh và hạnh phúc.
Địa giới tỉnh Bắc Ninh qua các thời kỳ lịch sử như sau:
Thời Hùng Vương- An Dương Vương, đây là đất bộ Vũ Ninh trong nhà nước Văn Lang- Âu Lạc. Dưới thời Lý, địa phương có tên là Lộ Bắc Giang. Đến thời Hồ lại tách ra thành Lộ Bắc Giang và Lộ Lạng Giang.
Sang thời Lê: Sau một thời gian mang tên là Bắc Đạo, đến năm 1469, dưới triều Lê Thánh Tông, đổi thành trấn Kinh Bắc. Trên 4 thế kỷ, trấn Kinh Bắc ổn định số lượng 20 huyện nằm trong 4 phủ.
Dưới triều Nguyễn: Năm 1823, trấn Kinh Bắc đổi thành trấn Bắc Ninh. Năm 1831, trấn Bắc Ninh đổi thành tỉnh Bắc Ninh. Thời kỳ này, tỉnh Bắc Ninh có 21 huyện, diện tích khoảng 6.000 km2, với số dân chừng 70 vạn người.
Thời thuộc Pháp: Tháng 10 năm 1895, thực dân Pháp chia Bắc Ninh thành 2 tỉnh Bắc Ninh và Bắc Giang, lấy sông Cầu làm địa giới. Trong những năm cuối thế kỷ XIX và đầu thế kỷ XX, thực dân Pháp tiếp tục thay đổi địa giới để cuối cùng tỉnh Bắc Ninh còn 10 phủ, huyện là: phủ Từ Sơn, phủ Thuận Thành, phủ Gia Lâm và các huyện Văn Giang, Gia Bình, Lang Tài, Quế Dương, Võ Giàng, Tiên Du và Yên Phong.
Ngày 19 tháng 10 năm 1938, chính quyền thuộc địa Pháp ở nước ta quyết định nâng cấp thị xã Bắc Ninh lên thành phố cấp III.
Thời kỳ Nhà nước Việt Nam Dân chủ Cộng hòa, tỉnh Bắc Ninh đặt dưới sự quản lý của ủy ban hành chính Bắc Bộ, rồi ủy ban hành chính Liên khu I, Liên khu Việt Bắc. Để thuận lợi cho việc chỉ đạo, quản lý, Quốc hội, Chính phủ đã quyết định điều chỉnh địa giới các huyện, xã của tỉnh Bắc Ninh như sau: Tháng 8 năm 1950, huyện Gia Lương ra đời trên cơ sở hợp nhất Gia Bình và Lang Tài; huyện Quế Võ ra đời tháng 10 năm 1962, trên cơ sở hợp nhất Quế Dương và Võ Giàng; huyện Tiên Sơn ra đời tháng 3 năm 1963, sau khi Tiên Du, Từ Sơn đã chuyển một số xã sang Gia Lâm và Đông Anh; chuyển xã Đông Thọ, xã Văn Môn sang Yên Phong, nhận của Yên Phong hai xã Tương Giang và Phú Lâm và từ Quế Võ xã Khắc Niệm, xã Võ Cường. Tháng 4 năm 1961, huyện Gia Lâm cùng một số xã của các huyện Thuận Thành, Tiên Du, Từ Sơn thuộc tỉnh Bắc Ninh được chuyển giao về Hà Nội.
Ngày 27 tháng 10 năm 1962, Quốc hội khóa II ra Nghị quyết hợp nhất hai tỉnh Bắc Ninh- Bắc Giang thành tỉnh Hà Bắc, với 14 huyện, 2 thị xã. Ngày 01 tháng 4 năm 1963, đơn vị hành chính mới chính thức đi vào làm việc.
Sau 1/3 thế kỷ hợp nhất, kỳ họp thứ 10, Quốc hội khóa IX, ngày 06 tháng 11 năm 1996 đã ra Quyết định phê chuẩn việc tái lập hai tỉnh Bắc Ninh và Bắc Giang. Ngày 1 tháng 1 năm 1997, tỉnh Bắc Ninh chính thức hoạt động theo đơn vị hành chính mới. Thị xã Bắc Ninh trở thành thị xã tỉnh lỵ. Tỉnh Bắc Ninh có diện tích tự nhiên gần 822,7km2 với 1 thị xã, 5 huyện, có 123 xã, phường, thị trấn; dân số 925.997 người, là tỉnh có mật độ dân số cao (1.163 người/km2).
Sau khi tỉnh Bắc Ninh được tái lập để thuận lợi cho việc chỉ đạo, Quốc hội, Chính phủ đã quyết định điều chỉnh địa giới các huyện, xã của tỉnh Bắc Ninh như sau: Tại nghị định số 68/1999/NĐ- CP ngày 9 tháng 8 năm 1999, Chính phủ quyết định chia tách huyện Gia Lương thành hai huyện Lương Tài và Gia Bình; huyện Tiên Sơn thành huyện Từ Sơn và Tiên Du. Tháng 4 năm 2002, Thủ tướng Chính phủ có Nghị định số 37/2002/NĐ-CP thành lập đơn vị hành chính: phường Suối Hoa, thị xã Bắc Ninh và thị trấn Gia Bình, huyện Gia Bình. Tháng 1 năm 2006, Thủ tướng Chính phủ có Nghị định số 15/2006/NĐ-CP thành lập thành phố Bắc Ninh. Tháng 9 năm 2008 thị xã Từ Sơn được thành lập trên cơ sở toàn bộ diện tích và dân số của huyện Từ Sơn và thành lập phường Trang Hạ thuộc thị xã Từ Sơn.
Thời gian và thay đổi địa giới hành chính tuy đã làm cho diện mạo của tỉnh Bắc Ninh có những thay đổi, nhưng mảnh đất ngàn năm văn hiến, địa linh nhân kiệt, giàu truyền thống văn hóa, truyền thống yêu nước và cách mạng vẫn trường tồn và phát triển.
II. Chinh phục thiên nhiên, xây dựng và phát triển kinh tế, xã hội
Vùng đất Bắc Ninh xa xưa gồm các khối đồi gò bên cạnh các ô ruộng trũng, đầm lầy và rừng rậm. Từ thời Lý đến thời Hồ (thế kỷ XI đến thế kỷ XV), rừng Báng (Đình Bảng) vẫn đầy ắp lâm lộc, hoa nghị và gỗ quý, đặc biệt là loại củ mài nhỏ có công hiệu chữa bệnh hơn cả sâm Trung Quốc. Vào thời nhà Hồ, rừng ở đây vẫn khai thác được hàng vạn cây ô mễ (tức gỗ mun) dùng vào việc rào sông, ngăn cửa biển đề phòng giặc Minh xâm lược. Ở Cổ Loa, rừng vẫn bạt ngàn, trong rừng cũng có loại củ mài là thứ đầu vị trong các thứ cống hiến, nó thú vị hơn cả củ mài ở rừng Báng. Ngày nay, dấu tích của rừng còn để lại trong các tên gọi như huyện Đông Ngàn (huyện rừng), Núi Lim (núi của rừng gỗ lim), rừng Sặt (Trang Liệt), rừng Cả (Tam Tảo), rừng Mành (Giới Tế), cùng với rừng (trám, sấu, thông) trải kín núi đồi vùng Đông Sơn, Phật Tích.
Do sự biến cải của thiên nhiên và bằng lao động sáng tạo của biết bao thế hệ nhân dân Bắc Ninh, các thảm thực vật đã được vùi lấp, các ô trũng và các vùng sình lầy đã được tạo dựng thành đồng ruộng, vườn bãi, ao hồ để trồng lúa, trồng ngô, cây ăn quả và nuôi thả tôm, cá. Nạn lụt lội và thiên tai đã từng gây cho con người biết bao thảm họa, đã được chuyển dòng chảy vào các con sông, con ngòi, phục vụ cho cuộc sống của con người. Sông Cầu, bắt nguồn từ Bắc Kạn, chảy qua địa phận Bắc Ninh từ ngã ba Sà (Yên Phong) đến Phả Lại có độ nước sâu từ 2m đến 6m tạo ra một đường thủy rất thuận lợi. Sông Cầu còn bồi đắp phù sa tạo thành hàng trăm héc-ta soi bãi màu mỡ, tạo điều kiện cho nhân dân gieo trồng rau màu và những nương dâu xanh tốt. Sông Đuống vốn là dòng Thiên Đức được đào từ thời Lý để nối sông Hồng với sông Thái Bình. Sông rộng và sâu, nước chảy xiết, lượng phù sa trong nước tới 1,028-1,4kg/m3. Đất ngoại đê sông Đuống bồi tụ hàng năm lên tới hàng nghìn héc-ta thuộc các huyện Tiên Du, Từ Sơn, Thuận Thành, Gia Bình, Lương Tài, Quế Võ. Đây là loại đất nguyên dạng phù sa sông Hồng, tỷ lệ mùn cao, dinh dưỡng khá, phù hợp với nhiều loại cây trồng cho năng suất cao. Nước sông Đuống đậm đặc phù sa nên hệ thống thủy lợi, thủy nông lấy nước tưới cho lúa, màu rất tốt. Sông Thái Bình, hợp lưu 3 dòng Đức: Thiên Đức (Đuống), Nguyệt Đức (Cầu), Nhật Đức (Thương), bắt đầu từ Phả Lại đến cửa Vạn úc, dài 93km, trong đó có 10km hữu ngạn chảy qua Gia Bình, Lương Tài, lòng sông rộng 300m đến 400m, độ sâu trung bình mùa cạn cũng đến 8-9m, rất thuận lợi cho giao thông đường thủy.
Hệ thống sông nhỏ, sông nội đồng phân bố khá dày đặc. Ngũ Huyện Khê - sông Thiếp, từ Đông Anh đổ xuống, chảy vào sông Cầu tưới tiêu cho một vùng đồng ruộng rộng lớn thuộc các huyện Tiên Du, Từ Sơn, Yên Phong, Quế Võ. Sông Tiêu Tương khởi đầu từ Phù Lưu (Từ Sơn), sông Ngụ (Gia Bình), sông Dâu (Thuận Thành) đều rất hữu ích cho nền nông nghiệp lúa nước.
Toàn bộ địa phận Bắc Ninh nằm trong vùng khí hậu nhiệt đới, nhiệt độ trung bình hàng năm là 23,50C, lượng mưa đạt 1.100mm-1.200mm/năm, có năm lên 1.800mm/năm. Độ ẩm trung bình là 82,5%. Khí hậu Bắc Ninh thuận lợi cho việc sinh trưởng của lúa, màu, cây công nghiệp, cây ăn quả và luân canh tăng vụ.
Bắc Ninh thuộc vùng đồng bằng, được hình thành trên trầm tích sa bồi, với loại đất chủ yếu là phù sa. Đồng đất và khí hậu tạo cho nhân dân trong tỉnh sản xuất ra loại thóc gạo ngon nhất, xứng đáng với lời ngợi ca: Đạm thực diệc giai Kinh Bắc (cơm Kinh Bắc ăn nhạt cũng ngon).
Từ xa xưa, nhân dân Bắc Ninh đã sớm chú ý đến sản xuất vật phẩm tiêu dùng, tiểu thủ công nghiệp. Hệ thống làng nghề xuất hiện sớm như gò đúc đồng (Đề Cầu, Đại Bái, Quảng Bố, Trang Liệt), chuyên làm đồ hàng sắt (Đa Hội, Đông Xuất, Ân Phú, Việt Yên, Thị Cầu, Nga Hoàng), làm đồ gốm (Bát Tràng, Phù Lãng), dệt vải lụa (Nội Duệ, Lũng Giang, Duệ Đông, Tiêu, Hồi Quan, Xuân ổ, Tam Tảo, Tam Sơn, Yên Phụ, Phù Ninh, Thống Thiện, Thượng Mão, Lãng Ngâm, Bà Dương, Tuyên Bá, Lĩnh Mai, Ngọc Trì), nung gạch ngói (Xuân ổ, Vĩnh Kiều, Tấn Bào, Tiêu Sơn, Lũng Giang), chạm đồ gỗ (Hương Mạc, Kim Thiều, Phù Khê), làm đồ sơn mài (Đình Bảng, Nội Trì, Lam Cầu, Phù Dực, Định Cương), làm cày bừa (Đông Xuất), làm giấy dó (Xuân ổ, Phong Khê), làm tranh (Đông Hồ), làm thợ mộc, thợ xẻ (Thiết Úng, Kim Bảng, Phù Khê, Đồng Kỵ, Đại Vi, Đỗ Xá, Tư Thế, Chi Nê...), làm thợ ngõa, thợ nề (Vĩnh Kiều, Tiêu Sơn, Lễ Xuyên, Nội Duệ, Chi Nê, Ngăm Điền, Đặng Xá...).
Hoạt động buôn bán ở Bắc Ninh cũng khá sôi nổi, ở các chợ kẻ bán người mua tấp nập, nhộn nhịp đông vui. Chợ Giầu, huyện Đông Ngàn (nay là TX Từ Sơn) là chợ sầm uất vào loại nhất tỉnh. Chợ Lim, huyện Tiên Du, bán nhiều tơ sống. Chợ Nội Trà, huyện Yên Phong, quán xá đông đúc, hàng hóa nhiều. Do thương mại phát triển nên đã xuất hiện các làng buôn như Phù Lưu, Đình Bảng (Từ Sơn) có tới 70-80% số người trong làng chuyên nghề buôn bán.
Dù làm ruộng, làm nghề thủ công hay buôn bán, từ thượng cổ cho đến ngày nay, nhân dân Bắc Ninh vẫn sống cùng nhau với mô hình cộng đồng làng xóm. Mái đình, giếng nước, cây đa đã gắn bó dân làng với nhau hết sức keo sơn, tràn đầy tình nghĩa.
Ở Bắc Ninh, đình không chỉ là nơi thờ thành hoàng của làng, là nơi tế tự và hội họp mà đình còn là nơi mở hội làng. Gần như hết mùa xuân các làng xã của Bắc Ninh đều vào đám và mở hội. Mỗi hội có những nét riêng, nhưng nhiều người ca ngợi về Hội Lim - hội chùa và hội Quan họ với làn điệu dân ca trữ tình mượt mà độc đáo; hội Đình Bảng ca ngợi 8 đời vua Lý có công mở ra thời kỳ văn minh Đại Việt; hội Dâu, hội chùa. Các hội chùa đã tạo ra không khí tươi vui, lành mạnh trong vùng. Về nghệ thuật, dân ca Quan họ Bắc Ninh với hàng trăm làn điệu trữ tình được nhiều người mê say, ngưỡng mộ.
Theo nhiều ngả khác nhau, Phật giáo đã vào Bắc Ninh từ đầu Công nguyên. Dòng Nam Phương và Quan Bích là cơ sở chủ yếu của đạo Phật ở Việt Nam. Đạo Thiên chúa xuất hiện ở Bắc Ninh vào đầu thế kỷ XVIII. Thôn Tử Nê thuộc xã Phá Lãng (Lương Tài) đón nhận sớm nhất, rồi truyền bá sang các thôn Lai Tê, Nghĩa La, Hương La. Sau đó các nhà truyền giáo tiếp tục dựng đặt thêm cơ sở ở Phượng Mao, Phong Cốc, Xuân Hòa…(Quế Võ), Ngô Khê, Đông Tảo (Yên Phong), Dũng Vi (Tiên Du), Cẩm Giang (Từ Sơn), Ngăm Điền (Gia Bình).
Nho giáo và Hán học vào Bắc Ninh từ đầu Công nguyên, để từ đó lan tỏa đi khắp đất nước. Tuy nhiên đến thời nhà Lý, Nho giáo và Hán học mới được phát triển. Suốt chặng đường 825 năm (1075-1901), tham gia thi cử tại nơi cửa khổng, nho sĩ Bắc Ninh đã giành nhiều vị trí hàng đầu cả về số lượng và học vị.
Xứ Kinh Bắc đỗ đại khoa có tới gần 700 người. Có trạng nguyên khai khoa Lê Văn Thịnh, quê xã Đông Cứu, huyện Gia Bình. Khoa Mậu Thân (1508), nho sĩ Bắc Ninh chiếm giải Tam khôi: trạng nguyên Nguyễn Giản Thanh, người xã Hương Mạc, huyện Đông Ngàn; bảng nhỡn Hứa Tam Tỉnh, người xã Như Nguyệt, huyện Yên Phong; thám hoa Nguyễn Hữu Nghiêm, người xã Phúc Khê, huyện Đông Ngàn. Ở xã Hoài Bão, huyện Tiên Du có Nguyễn Đăng Hạo thi hương, thi hội, thi đình, thi đông các đều đỗ đầu. Đi sứ, nổi tiếng ở nước Tàu, được vua nhà Thanh tặng là khôi nguyên. Em trai là Nguyễn Đăng Minh đỗ cùng bảng và cháu gọi bằng chú là Nguyễn Đăng Đạo đỗ trạng nguyên. Gia đình là một vọng tộc ở huyện Tiên Du- trạng nguyên Nguyễn Đăng Đạo đi sứ, thông minh, tài giỏi kiệt xuất được phong lưỡng quốc trạng nguyên, khi Nguyễn Đăng Đạo mất được vua ban cờ và câu đối:
Tiến sĩ thượng thư thiên hạ hữu
Trạng nguyên tể tướng thế gian vô.
Dịch:
Thiên hạ có tiến sĩ làm chức thượng thư
Thế gian hiếm trạng nguyên lại là tể tướng.
Xã Tam Sơn, huyện Đông Ngàn có bảng nhỡn Ngô Đạm với chức hàn lâm thi thư, dự hội Tao Đàn được phong tước Thái Bảo. Trạng nguyên Ngô Miễn Thiệu là con. Tiến sĩ Ngô Diễn và Ngô Dịch là cháu ông. Cha truyền con nối hiển đạt, là một dòng họ danh vọng ở Đông Ngàn.
Trong cái biển học mênh mông suốt mấy trăm năm đó, làng Kim Đôi nổi bật hơn cả bởi sự đồ sộ về số lượng đại khoa.
Phan Huy Chú trong Lịch triều hiến chương loại chí viết: “Về những họ nối đời hiển đạt như các họ ở làng Kim Đôi, Vịnh Kiều, Vân Điềm, Vọng Nguyệt đều hơn cả một xứ… Làng Kim Đôi ở huyện Võ Giàng có họ Nguyễn từ Nhân Thiếp trở xuống ba đời thi đỗ 13 người. Đầu thời Lê, năm anh em đồng thời cùng đỗ cả, con cháu nối nhau đỗ cao làm quan to trong triều”.
Đại Nam nhất thống chí ghi đậm nét hơn: “Năm anh em cùng làm quan một triều, đời bấy giờ ví anh em nhà này như Ngũ Quế ở Yên Sơn. Thánh Tông từng bảo thị thần rằng: Kim Đôi gia thế, chu tử mãn triều (gia thế làng Kim Đôi áo đỏ áo tía đầy triều). Như thế là có ý khen ngợi nhiều lắm”.
Châu Cổ Pháp xưa, nay là làng Đình Bảng, thị xã Từ Sơn, tỉnh Bắc Ninh là nơi phát tích vương triều Lý, một vương triều có 9 đời vua (1009-1225) với 216 năm trị vì đã xây dựng nên một nền văn minh Đại Việt.
Với tư duy khoa học, nhìn xa trông rộng, vua Lý Thái Tổ thấy thành Hoa Lư không đủ làm chỗ ở của đế vương, muốn dời đi nơi khác, tự tay viết chiếu truyền rằng: “... Trẫm rất đau đớn, không thể không dời. Huống chi thành Đại La, đô cũ của Cao Vương, ở giữa khu vực trời đất, được thế rồng cuộn hổ ngồi, chính giữa nam bắc đông tây, tiện nghi núi sông sau trước. Vùng này mặt đất rộng mà bằng phẳng, thế đất cao mà sáng sủa, dân cư không khổ thấp trũng tối tăm, muôn vật hết sức tươi tốt phồn thịnh. Xem khắp nước Việt đó là nơi thắng địa, thực là chỗ tụ hội quan yếu của bốn phương, đúng là nơi thượng đô kinh sư mãi muôn đời. Trẫm muốn nhân địa lợi ấy mà định nơi ở, các khanh nghĩ thế nào?”. Bầy tôi đều nói: “Bệ hạ vì thiên hạ lập kế dài lâu, trên cho nghiệp đế được thịnh vượng lớn lao, dưới cho dân chúng được đông đúc giàu có, điều lợi như thế ai dám không theo”. “Vua rất mừng”.
Mùa thu, tháng 7 năm Canh Tuất (1010), vua từ thành Hoa Lư, dời đô ra kinh phủ ở Đại La, tạm đỗ thuyền dưới thành, có rồng vàng hiện lên ở thuyền ngự, nhân đó đổi tên thành là thành Thăng Long. Đổi châu Cổ Pháp gọi là phủ Thiên Đức, thành Hoa Lư gọi là phủ Trường Yên, sông Bắc Giang gọi là sông Thiên Đức. Xuống chiếu phát tiền kho 2 vạn quan, thuê thợ làm chùa ở Thiên Đức, tất cả ở 8 sở, đều dựng bia ghi công.
Thăng Long rồng cuộn hổ ngồi đã tạo dựng ra nền văn minh Đại Việt và trước hết là nền văn minh lúa nước. Vua Lý Thái Tông đích thân đi cày ruộng “Trẫm không tự cày thì lấy gì làm xôi cúng, lấy gì để xướng xuất thiên hạ?”. “... nhân dân thiếu ăn thì xuống chiếu khuyến nông”. Lại chiếu rằng: “Trâu là một con vật quan trọng trong việc cày cấy, lợi cho người không ít. Từ nay về sau... không được giết trâu ăn thịt, ai làm trái thì trị tội theo pháp luật” và hàng năm đến vụ lúa chín, vua Lý Thánh Tông, Lý Nhân Tông đều ngự giá kinh lý xem nhân dân gặt hái. Công việc tu bổ đê điều chống hạn lụt cũng được các triều đại hết sức chú trọng. Nghề trồng dâu nuôi tằm, ươm tơ, dệt lụa cùng nhiều nghề thủ công mỹ nghệ phát triển mạnh mẽ.
Mùa thu, tháng 8 năm Canh Tuất (1070) làm Văn Miếu, đắp tượng Khổng Tử, Chu Công và Tứ Phối, vẽ tượng Thất thập nhị hiền, bốn mùa cúng tế. Hoàng thái tử đến học ở đây.
Mùa xuân, tháng Giêng năm Tân Hợi (1071), vua viết bia chữ “Phật” dài 1 trượng 6 thước đặt ở chùa Tiên Du.
Năm Ất Mão (1075), vua Lý Nhân Tông “xuống chiếu tuyển Minh kinh bác học và thi Nho học tam trường. Lê Văn Thịnh trúng tuyển, cho vào hầu vua học”. Hán học được mở rộng và phát triển, đào tạo cho đất nước hàng trăm ông trạng, ông nghè, ông cống, một đội ngũ trí thức hiểu rộng tài cao.
Tháng 9 năm Nhâm Ngọ (1042), vua Lý Thái Tông xuống chiếu về việc phú thuế của trăm họ “... lấy quá thì xử theo tội ăn trộm; trăm họ có người tố cáo được tha phú dịch cho cả nhà trong 3 năm; người ở kinh thành mà cáo giác thì thưởng cho bằng hiện vật thu được. Nếu quản giáp, chủ đô và người thu thuế thông đồng nhau thu quá lệ, tuy xảy ra đã lâu, nhưng có người tố cáo thì quản giáp (quản giáp là quan châu giữ việc kinh), chủ đô và người thu thuế cũng phải tội như nhau” “Ban sách hình thư”, “... làm sách hình luật của một triều đại, để cho người xem dễ hiểu”, “... cho đặt cái hòm đồng ở giữa sân, để ai có nói việc gì thì bỏ thư vào trong ấy”.
Như vậy, chế độ phong kiến tập quyền nhà Lý đã chú trọng xây dựng pháp luật để cai trị, có thiết chế quản lý Nhà nước của vương triều Lý đã đưa xã hội vào kỷ cương khuôn phép, ổn định và phát triển.
Một điều nổi bật của Vương triều Lý là bà Hoàng Thái Hậu Ỷ Lan, một nhà nhiếp chính tài giỏi, sự nghiệp của bà sống mãi với non sông đất nước.
Tục truyền rằng, vua Lý Thánh Tông đi khắp các chùa quán, “xa giá vua đi đến đâu, con trai con gái đổ xô đến xem không ngớt, duy có một người con gái hái dâu cứ đứng nép trong bụi cỏ lan. Vua trông thấy, gọi đưa vào cung, được vua yêu, phong làm Ỷ Lan phu nhân”.
Bính Ngọ (1066), “Mùa xuân, tháng giêng, ngày 25 giờ Hợi, Ỷ Lan sinh Hoàng tử Càn Đức. Ngày hôm sau, lập làm Hoàng thái tử, đổi niên hiệu, đại xá, phong mẹ thái tử là Ỷ Lan phu nhân làm thần phi”. Vua đi đánh giặc Chiêm Thành, giao cho Ỷ Lan phu nhân quyền nhiếp chính, khi trở về “đến châu Cư Liên, nghe tin Nguyên Phi giúp việc nội trị, lòng dân cảm hóa hoà hợp, trong cõi vững vàng, tôn sùng Phật giáo, dân gọi bà là Quan Âm, vua nói: Nguyên phi là đàn bà còn làm được như thế, ta là nam nhi lại chẳng được việc gì hay sao! Bèn quay lại đánh nữa, thắng được”. Ỷ Lan được nhân dân gọi là Quan âm có nghĩa là sự đức độ, lòng nhân ái, bác ái của Ỷ Lan như Phật bà Quan âm bồ tát.
Ngày 25 tháng giêng năm Nhâm Tý (1072), Hoàng thái tử Càn Đức lên ngôi hoàng đế tức Lý Nhân Tông, khi ấy mới 7 tuổi. Mẹ đẻ Lý Nhân Tông là Ỷ Lan Nguyên phi làm Hoàng thái phi. Ỷ Lan trước đây đã giúp chồng nhiếp chính nay lại giúp con, vì Lý Nhân Tông nối nghiệp mới có 7 tuổi đời.
Khi giặc Tống chuẩn bị tiến công Đại Việt, vua biết tin sai Lý Thường Kiệt chủ động đánh thành Ung Châu của quân nhà Tống. Giặc Chiêm Thành ở phía nam cũng bị Lý Thường Kiệt dẹp tan, giữ yên bờ cõi.
Đến tháng 3 năm Bính Thìn (1076), nhà Tống sai tướng Quách Quỳ và Triệu Tiết mang quân xâm lược nước ta. Hoàng thái hậu Ỷ Lan đã giúp vua nhiếp chính sai Lý Đạo Thành quan phụ chính lo việc chính sự trong triều đình. Cử Lý Thường Kiệt thống lĩnh đại quân củng cố chiến tuyến sông Cầu, lũy cao, hào sâu và đóng quân ở Yên Phụ, Đại Lâm (Yên Phong), lập căn cứ thủy quân ở Vạn Xuân (Quế Dương). Quân sĩ nhà Tống đã bị tướng quân Lý Thường Kiệt cùng quân dân Đại Việt đánh cho tan tành, buộc phải giảng hòa rút chạy về nước. Cuộc xâm lược lần thứ hai của quân Tống hoàn toàn bị thất bại.
“Một đêm quân sĩ chợt nghe ở trong đền Trương tướng quân có tiếng đọc to rằng:
Nam quốc sơn hà Nam đế cư,
Tiệt nhiên phân định tại thiên thư.
Như hà nghịch lỗ lai xâm phạm?
Nhữ đẳng hành khan thủ bại hư.
Dịch:
Sông núi nước Nam, Nam đế ở
Rõ ràng phân định tại sách trời
Cớ sao nghịch tặc sang xâm phạm?
Cứ thử làm xem, chuốc bại nhơ”.
Bài thơ trên được Lý Thường Kiệt đọc là bản anh hùng ca bất hủ, được coi là lời tuyên ngôn độc lập của nước Đại Việt.
Bắc Ninh đã sản sinh và cung cấp cho đất nước một đội ngũ trí thức tài đức, hiểu rộng biết nhiều, có nhãn quan tinh tế. Họ là nhà ngoại giao, nhà thơ, nhà quản lý xuất sắc của đất nước.
Trong dòng văn học thành văn bằng chữ Hán- còn gọi là văn học Hán học, dòng thơ thiền với tên tuổi của Nguyễn Học, Thiền Lão, Lâm Khu, Tô Minh Trí (Yên Phong); Vạn Hạnh, Đàm Cứu Chỉ, Phạm Thường Chiếu, Vương Minh Thiềm, Lý Ngọc Kiều (Từ Sơn), đã đem vào thi ca sự khoáng đạt, những tâm niệm về nhân sinh với những nét đặc sắc Việt Nam.
Đội ngũ văn nhân thi sĩ Bắc Ninh vào thời Lê đã để lại nhiều ấn phẩm có giá trị: Vũ Mộng Nguyên với Vị khê thi tập; Nguyễn Thiên Tích có Tiên Sơn thi tập; Đào Cừ, Đàm Văn Lễ cùng biên soạn Thiên Nam dư học tập; Thái Thuận có Lã Đường thi tập; Đàm Thận Huy có Mạc trai thi tập; Nguyễn Giản Thanh có Thượng Côn châu ngọc tập; Nguyễn Đăng Đạo có Phụng sứ tập; Nguyễn Công Hãng có Trịnh xà thi tập; Nguyễn Gia Thiều có Cung oán ngâm khúc; Đoàn Thị Điểm có Chinh phụ ngâm; Lê Ngọc Hân có Ai tư vãn. Phơi bụng viết kinh là quan thám hoa người Hoài Bão- Nguyễn Đăng Hạo, tài hoa độc đáo lưu danh muôn thủa. Người nhà Thanh (Trung Hoa) bấy giờ kính phục than rằng: “địa linh nhân kiệt đời nào cũng có, nhưng vượt trội hơn cả từ nay về sau chỉ có một Đăng Hạo”.
Mạch văn học ấy dưới thời Nguyễn cũng phát triển với những tên tuổi như Hoàng Văn Hòe, Cao Bá Quát, Nguyễn Cao, Nguyễn Tư Giản. Đến nay Bắc Ninh lại rất đỗi tự hào là quê hương của nhiều nhà văn, nhà thơ, nhạc sĩ nổi tiếng như Ngô Tất Tố, Nguyễn Công Hoan, Nguyễn Huy Tưởng, Kim Lân, Trần Đức Thảo, Hoàng Tích Chu, Nam Xương, Thế Lữ, Nguyễn Ngọc Tuyết, Hoàng Cầm, Hồ Bắc, Huy Du, Nguyễn Đức Toàn, Nguyễn Phan Hách và bao tài năng trẻ khác. Những tác phẩm văn học và nghệ thuật cùng với những tên tuổi của các tác giả ấy là niềm tự hào và sẽ sống mãi cùng với quê hương, đất nước.
Người Bắc Ninh thanh lịch, hào hoa, thông minh, sáng tạo. Các thế hệ người Bắc Ninh có tính cộng đồng cao, luôn đoàn kết thủy chung bên nhau, vượt khó đi lên xây dựng quê hương, đấu tranh dũng cảm, kiên cường bảo vệ quê hương, đất nước.
III. Truyền thống yêu nước và cách mạng
Trang sử đấu tranh chống giặc ngoại xâm của nhân dân Bắc Ninh có từ thời Hùng Vương thứ 6.
Trước họa xâm lăng do giặc Ân gây nên, nhân dân bộ Vũ Ninh đã có chàng trai làng Gióng vụt lớn, đứng lên cưỡi ngựa sắt, nhổ tre đằng ngà đánh đuổi kẻ thù khỏi bờ cõi. Núi Vệ Linh đã chứng kiến lần cuối cùng Phù Đổng Thiên Vương trở về cõi trời sau khi hoàn thành nhiệm vụ. Tất cả vẻ đẹp, hình tượng ấy đã làm tỏa sáng truyền thống chống giặc ngoại xâm của nhân dân Bắc Ninh như lời Cao Bá Quát cảm khái:
“Đánh giặc còn hiềm ba tuổi muộn
Lên mây chín tầng hận chưa cao”.
Cuối thời Hùng Vương, nhà nước Âu Lạc ra đời với Cổ Loa thành kiên cố và nỏ liễu phòng chống giặc ngoại xâm. Tác giả của các công trình quân sự này là Cao Lỗ, quê ở Tiểu Than (Vũ Ninh). Nhờ đó, vào năm 218 trước Công nguyên, quân đội Âu Lạc đã giành được thắng lợi quan trọng. Tướng nhà Tần là Đồ Thư bị giết. Mấy chục vạn quân Tần phải rút lui.
Đến tháng 11 năm 210 trước Công nguyên (TCN), Tần Thủy Hoàng chết ở Sa Khâu, lợi dụng cơ hội ấy Nhâm Ngao và Triệu Đà đem quân vào Âu Lạc nhưng bị đánh bại, bèn tìm cách đánh cắp bí mật quân sự của Cao Lỗ chiếm cao điểm Tiên Du tấn công Cổ Loa.
Năm 179 TCN, Triệu Đà bất ngờ tấn công, chiếm được Cổ Loa. Đất nước Âu Lạc rơi vào tay kẻ thù phương Bắc.
Thâu tóm được Âu Lạc hơn 60 năm thì nhà Triệu bị Tây Hán tiêu diệt. Đến đầu Công nguyên, nhà Đông Hán lên thay, vùng đất Bắc Ninh thuộc quận Giao Chỉ. Dưới sự cai trị của thái thú Tô Định, cuộc sống nhân dân vô cùng khổ cực.
Không cam chịu kiếp sống nô lệ, mùa xuân năm 40, cuộc khởi nghĩa Mê Linh do Trưng Trắc, Trưng Nhị lãnh đạo bùng nổ, nhân dân địa phương đã vùng đứng dậy hưởng ứng với những tên tuổi như Nguyệt Thai, Nguyệt Độ, ả Lã- Rộng Nhị, ả Tắc- ả Dị, Diệu Tiên- Pháp Hải, Doãn Công- Đào Nương và hàng chục danh tướng khác. Chỉ trong một thời gian ngắn, cuộc khởi nghĩa Mê Linh đã giành thắng lợi. Luy Lâu, Long Biên và 63 thành trì khác được giải phóng. Bản anh hùng ca bất diệt của một thời vô cùng oanh liệt, những tấm gương anh dũng vô song của phụ nữ Bắc Ninh ngàn năm còn ngời sáng.
“Dẹp giặc Tô Định tham tàn, quyết lấy quần thoa thay kiếm kích. Phù triều Trưng Vương hiển hách, khéo đem khăn yếm giữ non sông”.
Liền trong mấy thế kỷ, nhân dân địa phương phải sống dưới ách thống trị của nhà Ngô, nhà Tần, nhà Tề, nhà Đường. Năm 542, Lý Bí phất cờ khởi nghĩa, đã nhận được sự hưởng ứng kịp thời của Tuy Ông (Lập ái, Gia Bình); Nguyễn Thi, Nguyễn Quảng, Nguyễn Vân (Đông Côi, Thuận Thành); Trương Hống, Trương Hát (Vân Mẫu, Quế Dương) cùng nhiều hào trưởng khác như Tinh Thiều, Triệu Túc, Phạm Tu, Lý Phục Man... Sau khi chiếm được lỵ sở Giao châu, ông lên ngôi lấy hiệu là Lý Nam Đế, lập nước Vạn Xuân, đóng đô ở Long Biên.
Năm 545, quân nhà Lương từ Trung Quốc kéo sang, chiếm lại được Long Biên. Cuối năm 548, Lý Nam Đế mất, Triệu Quang Phục là con Triệu Túc lên thay rút về đầm Dạ Trạch hoạt động suốt ba năm trời. Lợi dụng tướng nhà Lương là Trần Bá Tiên đem quân về Trung Quốc cướp ngôi, Triệu Quang Phục đã tổ chức phản công, giết chết Dương Sàn, giành lại Long Biên rồi lại lên ngôi lấy tên là Triệu Việt Vương.
Hơn 20 năm sau, Lý Phật Tử đoạt quyền. Trương Hống, Trương Hát và nhiều tướng lĩnh khác không theo đã tự vẫn. Năm 602, Lý Phật Tử tức hậu Lý Nam Đế hèn yếu, đẩy nước ta vào vòng Bắc thuộc như những thế kỷ trước.
Năm 980, đất nước vừa giành được quyền độc lập, nhà Tống lại lăm le thôn tính. Nhận biết vị trí quan trọng của vùng Thiên Đức, Lê Đại Hành đã đích thân chỉ đạo việc xây thành Bình Lỗ trên sông Cầu kéo từ Yên Phong đến Võ Giàng.
Tuy quân Tống bị chặn trước sông Cầu, nhưng một vài cánh quân của chúng đã đến được Hoa Bộ (Hoa Lâm), hợp quân ở Đa La (Đa Hội, Đa Vạn) vào tháng 4 năm 981. Tướng giặc Hầu Nhân Bảo bị giết ở Bình Lỗ. Hai cánh quân của Tôn Toàn Hưng, Lưu Trường bị đánh bật khỏi Hoa Bộ, chết quá nửa, thây chất đầy đồng, phải theo đường sông chạy ra biển. Các tướng Quách Quang Biện, Triệu Phụng Huân bị bắt sống.
Lê Đại Hành tiếp tục xuôi sông Cầu, sông Thái Bình đuổi giặc. Chàng Dì, một thủ lĩnh quê Dị Sử (Lương Tài) đã đem toàn bộ lực lượng của mình tham gia truy kích, bất ngờ tập kích vào trại quân của địch, giành nhiều thắng lợi lớn được triều đình cử làm thống lĩnh các đạo quân binh.
Năm 1073, dưới triều Lý Nhân Tông, một lực lượng thủy quân lớn của địch từ phía Chiêm Thành đã vượt biển vào sông Thái Bình để tiến sâu vào nội địa Đại Việt. Chúng đã bị quân và dân Đại Việt đánh lui.
Cuối năm 1075, với chủ trương đem quân ra trước để chặn mũi nhọn của giặc (Tiêu phát chế nhân), Lý Thường Kiệt đem hơn 10 vạn quân thủy bộ bất ngờ tập kích vào các căn cứ quân sự, hậu cần của quân Tống mà trung tâm của nó là thành Ung Châu.
Mùa xuân năm 1076, tại chiến tuyến sông Cầu, Lý Thường Kiệt cùng quân dân Đại Việt đã đập tan cuộc xâm lược lần thứ hai của quân nhà Tống.
Cuối thế kỷ XIII, dưới triều Trần, Bắc Ninh lại trở thành hướng chính của cuộc xâm lược do quân Nguyên tiến hành vào năm 1285 và 1288. Với khí thế của Hội nghị Bình Than, nhân dân địa phương đã hăng hái tham gia xây dựng phòng tuyến từ Phả Lại đến Châu Cầu, Lãm Sơn, Nghi Vệ, Phật Tích. Hơn 1.000 chiến thuyền được điều đến đóng giữ ở Bình Than, Vạn Tải và Vũ Dương. Lý Nương tập hợp được nhiều dân binh ở xã Xuân ổ. Châu Nương quê ở Đình Bảng cùng chồng là Trần Thái Bảo đã lập được nhiều chiến công ở Châu Hoan và gìn giữ kho tàng tại Thăng Long.
Cuối năm 1327, nửa triệu quân Nguyên lại tràn vào Đại Việt. Nhân dân Đại Than, Bình Than, Châu Cầu, Thất Gian, Phù Than, Tiểu Than, Văn Than, Cao Trụ, Bà Dương đã tham gia lấp cửa Đại Than góp phần vào chiến thắng kẻ thù lần thứ ba, giữ vững nền độc lập của đất nước Đại Việt.
Nhà Trần lâm vào tình cảnh vui chơi hưởng lạc, trễ nải việc nước, nhân cơ hội ấy, cha con Hồ Quý Ly cướp ngôi. Trước tình hình ấy, đầu năm 1407, nhà Minh phát động cuộc chiến tranh xâm lược Đại Việt, từ đó nhân dân nước ta sống trong cảnh đô hộ của nhà Minh.
Cuộc khởi nghĩa Lam Sơn đánh đuổi giặc Minh đã thu hút nhiều trai tráng Bắc Ninh vào hàng ngũ nghĩa quân. Ngô Đễ người Khánh Lâm (Rừng Mành) “có nhiều chiến công, được Lê Lợi phong công thần thống lãnh đại tướng quân”. Nguyễn Nghi người Dương Sơn, nhờ lập được nhiều chiến công, được phong hùng uy tướng quân. Thành Điêu Diêu (Gia Lâm) của quân Minh bị hạ vào tháng 2 và tháng 3 năm 1427, quân Minh do Đường Bảo Trinh chỉ huy đóng tại thành Thị Cầu buộc phải đầu hàng, đều có sự tham gia của nghĩa quân và nhân dân địa phương Bắc Ninh.
Chiến thắng Điêu Diêu, Thị Cầu góp phần quan trọng trong sự nghiệp đánh đổ ách thống trị của nhà Minh tồn tại 20 năm (1407-1427) ở nước ta.
Năm 1873, thực dân Pháp gây ra sự biến Quý Dậu, xâm lược Bắc kỳ lần thứ nhất. Dưới sự lãnh đạo của Nguyễn Cao, Hoàng Văn Hòe các đội nghĩa dũng của địa phương đã sát cánh cùng quân đội của triều đình do Phạm Thận Duật, Trương Quang Đảng chỉ huy, tiêu diệt chốt đóng quân của địch ở Gia Lâm (ngày 04 tháng 12 năm 1873) giải phóng Siêu Loại (ngày 21 tháng 12 năm 1873) bắt sống hàng trăm tên.
Chưa chiếm được Bắc kỳ, đầu năm 1882 thực dân Pháp lại tiến hành xâm lược lần thứ hai, Nguyễn Cao một lần nữa lại phối hợp với các đội nghĩa dũng bao vây địch ở Đồn Thủy, đột nhập Hàng Đậu, tấn công Cửa Đông. Nhân dân hai huyện Tiên Du, Đông Ngàn đã khẩn trương xây dựng một chiến lũy từ làng Đình Bảng đến sông Đuống, đề phòng giặc Pháp đánh chiếm thành Bắc Ninh.
Mùa xuân năm 1884, thành Bắc Ninh bị thất thủ. Nhân dân địa phương sát cánh cùng đội quân Tam tỉnh nghĩa đoàn do Nguyễn Cao, Dương Khải, Ngô Quang Huy và Nguyễn Thiện Thuật lãnh đạo đánh giặc. Khi Nguyễn Cao hy sinh và phong trào Tam tỉnh nghĩa đoàn tan rã, họ lại có mặt trong đội ngũ của Đội Văn gây cho địch nhiều thiệt hại trên địa bàn các huyện Lang Tài, Gia Bình, Siêu Loại, Tiên Du.
Đầu thế kỷ XX phong trào Trung châu ứng nghĩa đạo có cơ sở ở Từ Sơn, Văn Lâm, Thuận Thành với 300 cây súng sẵn sàng hỗ trợ cùng nghĩa quân Yên Thế đánh chiếm Hà Nội. Cử nhân Nguyễn Văn Đảng, người Nội Duệ (Tiên Du), đã tổ chức tại nhà mình với sự có mặt của các chí sĩ Phan Bội Châu, Nguyễn Thượng Hiền để hợp nhất hai nhóm ám xã và Minh xã. Sau đó xây dựng phân hiệu Đông Kinh Nghĩa Thục ở Phù Ninh (Tiên Du). Nhiều nhân sĩ khác như Ngô Gia Du (Tam Sơn); Nguyễn Văn Châu, Nguyễn Văn Duyên (Phù Khê) đã tham gia phong trào rất tích cực. Đặc biệt là tú tài Hoàng Tích Phụng, quê ở Phù Lưu (Từ Sơn), tuy đang làm tri huyện nhưng vẫn hòa nhập vào các cuộc vận động công khai và là một thành viên trong ban Hán học của nhà trường.
Truyền thống yêu nước chống giặc phương Bắc, chống thực dân Pháp xâm lược của các thế hệ nhân dân Bắc Ninh đã hun đúc và tạo tiền đề cho công cuộc vận động cách mạng giải phóng dân tộc, đi lên chủ nghĩa xã hội, dưới sự lãnh đạo của Đảng ta- Đảng Cộng sản Việt Nam quang vinh, do đồng chí Nguyễn Ái Quốc tức Chủ tịch Hồ Chí Minh tổ chức và rèn luyện.
hoặc đăng nhập với
NGHỊ ĐỊNH ____________
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019; Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015; Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004; Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018; Theo đề nghị của Bộ trưởng Bộ Công an; Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân.
Chương I
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng 1. Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. 2. Nghị định này áp dụng đối với: a) Cơ quan, tổ chức, cá nhân Việt Nam; b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau: 1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. 2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể. 3. Dữ liệu cá nhân cơ bản bao gồm: a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; c) Giới tính; d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; đ) Quốc tịch; e) Hình ảnh của cá nhân; g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; h) Tình trạng hôn nhân; i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái); k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này. 4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: a) Quan điểm chính trị, quan điểm tôn giáo; b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết. 5. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. 6. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. 7 Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. 8. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. 9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. 10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu. 11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân. 12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân. 13. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác. 14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý. Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân 1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật. 2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. 4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác. 5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý. 6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. 7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác. 8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó. Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định. Điều 5. Quản lý nhà nước về bảo vệ dữ liệu cá nhân Chính phủ thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân gồm: 1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. 2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân. 3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân. 5. Xây dựng, đào tạo, bồi dưỡng cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân. 6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền. 8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân. Điều 6. Áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế Việc bảo vệ dữ liệu cá nhân được thực hiện theo quy định các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên, các quy định khác của Luật có liên quan và Nghị định này. Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân 1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân. 2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân. 3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân. 4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân. 5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân. Điều 8. Hành vi bị nghiêm cấm 1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. 3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. 4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. 5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Chương II HOẠT ĐỘNG BẢO VỆ DỮ LIỆU CÁ NHÂN Mục 1
Điều 9. Quyền của chủ thể dữ liệu 1. Quyền được biết Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 2. Quyền đồng ý Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này. 3. Quyền truy cập Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 4. Quyền rút lại sự đồng ý Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. 5. Quyền xóa dữ liệu Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 6. Quyền hạn chế xử lý dữ liệu a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác; b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. 7. Quyền cung cấp dữ liệu Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 8. Quyền phản đối xử lý dữ liệu a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. 9. Quyền khiếu nại, tố cáo, khởi kiện Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật. 10. Quyền yêu cầu bồi thường thiệt hại Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. 11. Quyền tự bảo vệ Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự. Điều 10. Nghĩa vụ của chủ thể dữ liệu 1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình. 2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác. 3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân. 4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân. 5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Mục 2
Điều 11. Sự đồng ý của chủ thể dữ liệu 1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. 2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: a) Loại dữ liệu cá nhân được xử lý; b) Mục đích xử lý dữ liệu cá nhân; c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; d) Các quyền, nghĩa vụ của chủ thể dữ liệu. 3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. 4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. 5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. 7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. 8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. 9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. 10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. 11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác. Điều 12. Rút lại sự đồng ý 1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý. 2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý. 4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý. Điều 13. Thông báo xử lý dữ liệu cá nhân 1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân. 2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: a) Mục đích xử lý; b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; c) Cách thức xử lý; d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu. 3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau: a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật. Điều 14. Cung cấp dữ liệu cá nhân 1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình. 2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân: a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác; b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác. 3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác. 4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp: a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thân của người khác; c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân. 5. Hình thức yêu cầu cung cấp dữ liệu cá nhân: a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân. Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân. Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân; b) Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01, 02 tại Phụ lục của Nghị định này qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. 6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây: a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có); b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu; c) Hình thức cung cấp dữ liệu cá nhân; d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân. 7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan. 8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu; b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân. 9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này. Điều 15. Chỉnh sửa dữ liệu cá nhân 1. Chủ thể dữ liệu: a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác; b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình. 2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu. 3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu. Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân 1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau: a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật; đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật. 2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp: a) Pháp luật quy định không cho phép xóa dữ liệu; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật; c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật; d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật; đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật; e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác. 3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật. 4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật. 5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác. 6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục trong trường hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý; b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba; c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật. Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu 1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này. 2. Việc công khai dữ liệu cá nhân theo quy định của luật. 3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật. 4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật. 5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác. Điều 19. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết 1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thanh niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Nghị định này. 2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý. Điều 20. Xử lý dữ liệu cá nhân của trẻ em 1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. 2. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em. 3. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác; b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác; c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác. Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo 1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu. 2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm. 3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này. Điều 22. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân 1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình. 2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân 1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. 2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. 3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân; c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân; d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân. 4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn. 5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm. 6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau: a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân; b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật; c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng; d) Trường hợp khác theo quy định của pháp luật.
Mục 3
Điều 24. Đánh giá tác động xử lý dữ liệu cá nhân 1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; c) Mục đích xử lý dữ liệu cá nhân; d) Các loại dữ liệu cá nhân được xử lý; đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam; e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài; g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có); h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; i) Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. 2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân; c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân; d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có); đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài; e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. 3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân. 4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. 5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. 6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Điều 25. Chuyển dữ liệu cá nhân ra nước ngoài 1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba. 2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm: a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh; h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân. 3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. 4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công. 5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. 6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu. 7. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam. 8. Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp: a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam; b) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này; c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
Mục 4 BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 26. Biện pháp bảo vệ dữ liệu cá nhân 1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. 2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện; đ) Các biện pháp khác theo quy định của pháp luật. Điều 27. Bảo vệ dữ liệu cá nhân cơ bản 1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này. 2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này. 3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. 4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân. Điều 28. Bảo vệ dữ liệu cá nhân nhạy cảm 1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này. 2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. 3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này. Điều 29. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân 1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. 2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; b) Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan; e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Điều 30. Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân 1. Lực lượng bảo vệ dữ liệu cá nhân: a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân; b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân; c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân; d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân. 2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân. 3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Điều 31. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân 1. Nguồn tài chính thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác. 2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước. 3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
Chương III TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN Điều 32. Trách nhiệm của Bộ Công an 1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. 2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng. 3. Xây dựng, quản lý, vận hành cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. 4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. 5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này. 6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân. 7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật Điều 33. Trách nhiệm của Bộ Thông tin và Truyền thông 1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này. 2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao. 3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân. Điều 34. Trách nhiệm của Bộ Quốc phòng Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao. Điều 35. Trách nhiệm của Bộ Khoa học và Công nghệ 1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân. 2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ. Điều 36. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ 1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành. 4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành. 5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân. Điều 37. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương 1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành. 4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân. Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân 1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết. 2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân. 3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này. 4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp. 5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này. 6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân 1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân. 2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân. 3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan. 4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu. 6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. Điều 40. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân. Điều 41. Trách nhiệm của Bên thứ Ba Thực hiện đây đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này. Điều 42. Trách nhiệm của tổ chức, cá nhân có liên quan 1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp. 2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân. 4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
Chương IV ĐIỀU KHOẢN THI HÀNH
1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023. 2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miên trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp. 3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiêp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này. 1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này. 2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương chịu trách nhiệm thi hành Nghị định này.
Phụ lục (kèm theo Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ) _____________
Mẫu số 01 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
…, ngày….tháng…năm…. PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN (Dành cho cá nhân) Kính gửi:…..
1. Họ, tên cá nhân yêu cầu cung cấp dữ liệu cá nhân:...................................................... 2. Người đại diện/Người giám hộ1:.................................................................................. 3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu.............................................................. cấp ngày....... /.......... /…..tại.......................................................................................... 4. Nơi cư trú2:................................................................................................................ 5. Số điện thoại3................................. ; Fax................................. ; E-mail:................. 6. Dữ liệu cá nhân yêu cầu cung cấp4:............................................................................. 7. Mục đích yêu cầu cung cấp:........................................................................................ 8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ: a) Lần đầu b) Khác:............... (ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên) 9. Số lượng bản5:...................................... 10. Phương thức nhận dữ liệu cá nhân: □ Nhận tại nơi yêu cầu cung cấp □ Nhận qua bưu điện (ghi rõ địa chỉ nhận):....................................................................... □ Fax (ghi rõ số fax):...................................................................................................... □ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................ □ Hình thức khác (ghi rõ):............................................................................................... 11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU (Ký, ghi rõ họ tên)
_____________ 1Theo quy định của Bộ luật Dân sự về người đại diện, người giám hộ đối với người yêu cầu cung cấp thông tin là người chưa thành niên, người hạn chế năng lực hành vi dân sự, người mất năng lực hành vi dân sự, người có khó khăn trong nhận thức và làm chủ hành vi... 2Ghi nơi cư trú của người đại diện/người giám hộ. 3Ghi số điện thoại, fax, email của người đại diện/giám hộ. 4Ghi rõ tên chủ thể dữ liệu và các thông tin liên quan cần cung cấp. 5In, sao, chụp hoặc file dữ liệu.
Mẫu số 02 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
…, ngày….tháng…năm…. PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN (Dành cho tổ chức, doanh nghiệp) Kính gửi:…..
1. Tên tổ chức, doanh nghiệp:........................................................................................ 2. Người đại diện của tổ chức, doanh nghiệp1:................................................................ 3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu.............................................................. cấp ngày....... /......... /……tại......................................................................................... 4. Địa chỉ trụ sở của tổ chức, doanh nghiệp:.................................................................... 5. Số điện thoại2................................. ; Fax.................................. ; E-mail:................. 6. Dữ liệu cá nhân yêu cầu cung cấp:.............................................................................. 7. Mục đích yêu cầu cung cấp:........................................................................................ 8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ: a) Lần đầu b) Khác: ….(ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên) 9. Số lượng bản3:........................................................................................................... 10. Phương thức nhận văn bản, hồ sơ, tài liệu: □ Nhận tại nơi yêu cầu cung cấp thông tin □ Nhận qua bưu điện (ghi rõ địa chỉ nhận):....................................................................... □ Fax (ghi rõ số fax):...................................................................................................... □ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................ □ Hình thức khác (ghi rõ):............................................................................................... 11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU4 (Ký, ghi rõ họ tên)
_____ 1Theo quy định của Bộ luật Dân sự về người đại diện của tổ chức, doanh nghiệp. 2 Ghi số điện thoại, fax, email của người đại diện yêu cầu cung cấp thông tin. 3 In, sao, chụp hoặc file dữ liệu. 4 Người đại diện ký, ghi rõ họ tên và đóng dấu của tổ chức, doanh nghiệp đó.
Mẫu số 03
THÔNG BÁO VI PHẠM QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN Kính gửi: Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:.......................................................................................... - Địa chỉ trụ sở chính:...................................................................................................... - Địa chỉ trụ sở giao dịch:................................................................................................ - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….. do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................. Website...................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân: Họ và tên:...................................................................................................................... Chức danh:.................................................................................................................... Số điện thoại liên lạc (cố định và di động):...................................................................... Email:............................................................................................................................ 2. Mô tả hành vi vi phạm quy định bảo vệ dữ liệu cá nhân - Thời gian:.................................................................................................................... - Địa điểm:..................................................................................................................... - Hành vi:....................................................................................................................... - Tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.......................................................... Họ và tên:....................................................................................................................... Chức danh:..................................................................................................................... Số điện thoại liên lạc (cố định và di động):....................................................................... Email:............................................................................................................................. - Hậu quả xảy ra:............................................................................................................. - Biện pháp áp dụng:....................................................................................................... 1. ………… 2. ….. (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp thông tin cung cấp và tài liệu kèm theo.
_________ 1Tên tổ chức, doanh nghiệp
Mẫu số 04
THÔNG BÁO GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN Kính gửi: Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:......................................................................................... - Địa chỉ trụ sở chính:..................................................................................................... - Địa chỉ trụ sở giao dịch:............................................................................................... - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................. Website..................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:......................................................... Họ và tên:..................................................................................................................... Chức danh:................................................................................................................... Số điện thoại liên lạc (cố định và di động):..................................................................... Email:........................................................................................................................... 2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân 1. ……. 2. …… (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và tài liệu kèm theo.
_______ 1 Tên tổ chức, doanh nghiệp.
Mẫu số 05
THÔNG BÁO THAY ĐỔI NỘI DUNG HỒ SƠ……1 Kính gửi: Bộ Công an (Qua Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 2gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:.......................................................................................... - Địa chỉ trụ sở chính:..................................................................................................... - Địa chỉ trụ sở giao dịch: .............................................................................................. - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …. do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................ Website...................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:......................................................... Họ và tên:..................................................................................................................... Chức danh:................................................................................................................... Số điện thoại liên lạc (cố định và di động):...................................................................... Email:........................................................................................................................... 2. Mô tả tóm tắt thay đổi nội dung hồ sơ - Nội dung thay đổi:....................................................................................................... - Lý do thay đổi:............................................................................................................ 3. Tài liệu kèm theo 1. …… 2. ….. (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của nội dung thay đổi và tài liệu kèm theo.
________ 1Tên hồ sơ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. 2Tên tổ chức, doanh nghiệp.
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI Kính gửi: Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 1gửi Bộ Công an Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:.......................................................................................... - Địa chỉ trụ sở chính:..................................................................................................... - Địa chỉ trụ sở giao dịch:............................................................................................... - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................ Website...................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:......................................................... Họ và tên:..................................................................................................................... Chức danh:................................................................................................................... Số điện thoại liên lạc (cố định và di động):...................................................................... Email:........................................................................................................................... 2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài 1. …. 2. ….. (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và tài liệu kèm theo.
_________ 1Tên tổ chức, doanh nghiệp |
NGHỊ ĐỊNH
Bảo vệ dữ liệu cá nhân
____________
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015;
Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;
Theo đề nghị của Bộ trưởng Bộ Công an;
Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân.
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
2. Nghị định này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu cá nhân cơ bản bao gồm:
a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
5. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
6. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.
7 Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
8. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
13. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Điều 5. Quản lý nhà nước về bảo vệ dữ liệu cá nhân
Chính phủ thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân.
Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân gồm:
1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.
3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân.
5. Xây dựng, đào tạo, bồi dưỡng cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.
8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Điều 6. Áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
Việc bảo vệ dữ liệu cá nhân được thực hiện theo quy định các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên, các quy định khác của Luật có liên quan và Nghị định này.
Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân.
3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân.
4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
Điều 8. Hành vi bị nghiêm cấm
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Chương II
HOẠT ĐỘNG BẢO VỆ DỮ LIỆU CÁ NHÂN
Mục 1
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ liệu
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.
3. Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
6. Quyền hạn chế xử lý dữ liệu
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;
b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
8. Quyền phản đối xử lý dữ liệu
a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;
b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
9. Quyền khiếu nại, tố cáo, khởi kiện
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
10. Quyền yêu cầu bồi thường thiệt hại
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
11. Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
Điều 10. Nghĩa vụ của chủ thể dữ liệu
1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Mục 2
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
Điều 12. Rút lại sự đồng ý
1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
Điều 13. Thông báo xử lý dữ liệu cá nhân
1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
Điều 14. Cung cấp dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân:
a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp:
a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thân của người khác;
c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.
5. Hình thức yêu cầu cung cấp dữ liệu cá nhân:
a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân.
Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân;
b) Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01, 02 tại Phụ lục của Nghị định này qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có);
b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
c) Hình thức cung cấp dữ liệu cá nhân;
d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân.
7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.
8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân
a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu;
b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân.
9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân
Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
Điều 15. Chỉnh sửa dữ liệu cá nhân
1. Chủ thể dữ liệu:
a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác;
b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:
a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
b) Rút lại sự đồng ý;
c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:
a) Pháp luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Việc công khai dữ liệu cá nhân theo quy định của luật.
3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
Điều 19. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thanh niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Nghị định này.
2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
Điều 20. Xử lý dữ liệu cá nhân của trẻ em
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
2. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em.
3. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;
b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;
c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo
1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu.
2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này.
Điều 22. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
d) Trường hợp khác theo quy định của pháp luật.
Mục 3
ĐÁNH GIÁ TÁC ĐỘNG VÀ CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI
Điều 24. Đánh giá tác động xử lý dữ liệu cá nhân
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này.
Điều 25. Chuyển dữ liệu cá nhân ra nước ngoài
1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba.
2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:
a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
7. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
8. Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:
a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
b) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này;
c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
Mục 4
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 26. Biện pháp bảo vệ dữ liệu cá nhân
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
đ) Các biện pháp khác theo quy định của pháp luật.
Điều 27. Bảo vệ dữ liệu cá nhân cơ bản
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này.
2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này.
3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
Điều 28. Bảo vệ dữ liệu cá nhân nhạy cảm
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này.
2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này.
Điều 29. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân:
a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
b) Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân;
c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân;
d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng;
đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;
g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 30. Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 31. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Nguồn tài chính thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.
2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
Chương III
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 32. Trách nhiệm của Bộ Công an
1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
3. Xây dựng, quản lý, vận hành cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật
Điều 33. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao.
3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Điều 34. Trách nhiệm của Bộ Quốc phòng
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
Điều 35. Trách nhiệm của Bộ Khoa học và Công nghệ
1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân.
2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
Điều 36. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
Điều 37. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 40. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Điều 41. Trách nhiệm của Bên thứ Ba
Thực hiện đây đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này.
Điều 42. Trách nhiệm của tổ chức, cá nhân có liên quan
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
Chương IV
ĐIỀU KHOẢN THI HÀNH
1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023.
2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miên trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.
3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiêp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này.
2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương chịu trách nhiệm thi hành Nghị định này.
Nơi nhận: - Ban Bí thư Trung ương Đảng; - Thủ tướng, các Phó Thủ tướng Chính phủ; - Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; - HĐND, UBND các tỉnh, thành phố trực thuộc ương; - Văn phòng Trung ương và các Ban của Đảng; - Văn phòng Tổng Bí thư; - Văn phòng Chủ tịch nước; - Hội đồng Dân tộc và các Ủy ban của Quốc hội; - Văn phòng Quốc hội; - Viện kiểm sát nhân dân tối cao; - Tòa án nhân dân tối cao; - Kiểm toán nhà nước; - Ủy ban Giám sát tài chính Quốc gia; - Ngân hàng Chính sách xà hội; - Ngân hàng Phát triển Việt Nam; - Ủy ban trung ương Mặt trận Tổ quốc Việt Nam; - Cơ quan trung ương của các đoàn thể; - VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo; - Lưu: VT, KSTT (2b)TM |
TM. CHÍNH PHỦ KT. THỦ TƯỚNG PHÓ THỦ TƯỚNG
Trần Lưu Quang
|
Phụ lục
(kèm theo Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ)
_____________
Mẫu số 01 |
Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho cá nhân) |
Mẫu số 02 |
Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho tổ chức, doanh nghiệp) |
Mẫu số 03 |
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân |
Mẫu số 04 |
Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân |
Mẫu số 05 |
Thông báo thay đổi nội dung hồ sơ |
Mẫu số 06 |
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài |
Mẫu số 01
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
______________________
…, ngày….tháng…năm….
PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN
(Dành cho cá nhân)
Kính gửi:…..
1. Họ, tên cá nhân yêu cầu cung cấp dữ liệu cá nhân:......................................................
2. Người đại diện/Người giám hộ1:..................................................................................
3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu..............................................................
cấp ngày....... /.......... /…..tại..........................................................................................
4. Nơi cư trú2:................................................................................................................
5. Số điện thoại3................................. ; Fax................................. ; E-mail:.................
6. Dữ liệu cá nhân yêu cầu cung cấp4:.............................................................................
7. Mục đích yêu cầu cung cấp:........................................................................................
8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ:
a) Lần đầu b) Khác:............... (ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên)
9. Số lượng bản5:......................................
10. Phương thức nhận dữ liệu cá nhân:
□ Nhận tại nơi yêu cầu cung cấp
□ Nhận qua bưu điện (ghi rõ địa chỉ nhận):.......................................................................
□ Fax (ghi rõ số fax):......................................................................................................
□ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................
□ Hình thức khác (ghi rõ):...............................................................................................
11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU
(Ký, ghi rõ họ tên)
_____________
1Theo quy định của Bộ luật Dân sự về người đại diện, người giám hộ đối với người yêu cầu cung cấp thông tin là người chưa thành niên, người hạn chế năng lực hành vi dân sự, người mất năng lực hành vi dân sự, người có khó khăn trong nhận thức và làm chủ hành vi...
2Ghi nơi cư trú của người đại diện/người giám hộ.
3Ghi số điện thoại, fax, email của người đại diện/giám hộ.
4Ghi rõ tên chủ thể dữ liệu và các thông tin liên quan cần cung cấp.
5In, sao, chụp hoặc file dữ liệu.
Mẫu số 02
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
______________________
…, ngày….tháng…năm….
PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN
(Dành cho tổ chức, doanh nghiệp)
Kính gửi:…..
1. Tên tổ chức, doanh nghiệp:........................................................................................
2. Người đại diện của tổ chức, doanh nghiệp1:................................................................
3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu..............................................................
cấp ngày....... /......... /……tại.........................................................................................
4. Địa chỉ trụ sở của tổ chức, doanh nghiệp:....................................................................
5. Số điện thoại2................................. ; Fax.................................. ; E-mail:.................
6. Dữ liệu cá nhân yêu cầu cung cấp:..............................................................................
7. Mục đích yêu cầu cung cấp:........................................................................................
8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ:
a) Lần đầu b) Khác: ….(ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên)
9. Số lượng bản3:...........................................................................................................
10. Phương thức nhận văn bản, hồ sơ, tài liệu:
□ Nhận tại nơi yêu cầu cung cấp thông tin
□ Nhận qua bưu điện (ghi rõ địa chỉ nhận):.......................................................................
□ Fax (ghi rõ số fax):......................................................................................................
□ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................
□ Hình thức khác (ghi rõ):...............................................................................................
11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU4
(Ký, ghi rõ họ tên)
_____
1Theo quy định của Bộ luật Dân sự về người đại diện của tổ chức, doanh nghiệp.
2 Ghi số điện thoại, fax, email của người đại diện yêu cầu cung cấp thông tin.
3 In, sao, chụp hoặc file dữ liệu.
4 Người đại diện ký, ghi rõ họ tên và đóng dấu của tổ chức, doanh nghiệp đó.
Mẫu số 03
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
THÔNG BÁO
VI PHẠM QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:..........................................................................................
- Địa chỉ trụ sở chính:......................................................................................................
- Địa chỉ trụ sở giao dịch:................................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….. do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................. Website......................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:
Họ và tên:......................................................................................................................
Chức danh:....................................................................................................................
Số điện thoại liên lạc (cố định và di động):......................................................................
Email:............................................................................................................................
2. Mô tả hành vi vi phạm quy định bảo vệ dữ liệu cá nhân
- Thời gian:....................................................................................................................
- Địa điểm:.....................................................................................................................
- Hành vi:.......................................................................................................................
- Tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:..........................................................
Họ và tên:.......................................................................................................................
Chức danh:.....................................................................................................................
Số điện thoại liên lạc (cố định và di động):.......................................................................
Email:.............................................................................................................................
- Hậu quả xảy ra:.............................................................................................................
- Biện pháp áp dụng:.......................................................................................................
1. …………
2. …..
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp thông tin cung cấp và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
_________
1Tên tổ chức, doanh nghiệp
Mẫu số 04
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
THÔNG BÁO
GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:.........................................................................................
- Địa chỉ trụ sở chính:.....................................................................................................
- Địa chỉ trụ sở giao dịch:...............................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................. Website.....................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.........................................................
Họ và tên:.....................................................................................................................
Chức danh:...................................................................................................................
Số điện thoại liên lạc (cố định và di động):.....................................................................
Email:...........................................................................................................................
2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
1. …….
2. ……
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
_______
1 Tên tổ chức, doanh nghiệp.
Mẫu số 05
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
THÔNG BÁO
THAY ĐỔI NỘI DUNG HỒ SƠ……1
Kính gửi: Bộ Công an
(Qua Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 2gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:..........................................................................................
- Địa chỉ trụ sở chính:.....................................................................................................
- Địa chỉ trụ sở giao dịch: ..............................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …. do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................ Website......................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.........................................................
Họ và tên:.....................................................................................................................
Chức danh:...................................................................................................................
Số điện thoại liên lạc (cố định và di động):......................................................................
Email:...........................................................................................................................
2. Mô tả tóm tắt thay đổi nội dung hồ sơ
- Nội dung thay đổi:.......................................................................................................
- Lý do thay đổi:............................................................................................................
3. Tài liệu kèm theo
1. ……
2. …..
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của nội dung thay đổi và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
________
1Tên hồ sơ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
2Tên tổ chức, doanh nghiệp.
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 1gửi Bộ Công an Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:..........................................................................................
- Địa chỉ trụ sở chính:.....................................................................................................
- Địa chỉ trụ sở giao dịch:...............................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................ Website......................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.........................................................
Họ và tên:.....................................................................................................................
Chức danh:...................................................................................................................
Số điện thoại liên lạc (cố định và di động):......................................................................
Email:...........................................................................................................................
2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
1. ….
2. …..
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
_________
1Tên tổ chức, doanh nghiệp
NGHỊ ĐỊNH ____________
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019; Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015; Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004; Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018; Theo đề nghị của Bộ trưởng Bộ Công an; Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân.
Chương I
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng 1. Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. 2. Nghị định này áp dụng đối với: a) Cơ quan, tổ chức, cá nhân Việt Nam; b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau: 1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. 2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể. 3. Dữ liệu cá nhân cơ bản bao gồm: a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; c) Giới tính; d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; đ) Quốc tịch; e) Hình ảnh của cá nhân; g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; h) Tình trạng hôn nhân; i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái); k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này. 4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: a) Quan điểm chính trị, quan điểm tôn giáo; b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết. 5. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. 6. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. 7 Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. 8. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. 9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. 10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu. 11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân. 12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân. 13. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác. 14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý. Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân 1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật. 2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. 4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác. 5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý. 6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. 7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác. 8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó. Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định. Điều 5. Quản lý nhà nước về bảo vệ dữ liệu cá nhân Chính phủ thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân gồm: 1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. 2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân. 3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân. 5. Xây dựng, đào tạo, bồi dưỡng cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân. 6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền. 8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân. Điều 6. Áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế Việc bảo vệ dữ liệu cá nhân được thực hiện theo quy định các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên, các quy định khác của Luật có liên quan và Nghị định này. Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân 1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân. 2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân. 3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân. 4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân. 5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân. Điều 8. Hành vi bị nghiêm cấm 1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. 3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. 4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. 5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Chương II HOẠT ĐỘNG BẢO VỆ DỮ LIỆU CÁ NHÂN Mục 1
Điều 9. Quyền của chủ thể dữ liệu 1. Quyền được biết Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 2. Quyền đồng ý Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này. 3. Quyền truy cập Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 4. Quyền rút lại sự đồng ý Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. 5. Quyền xóa dữ liệu Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 6. Quyền hạn chế xử lý dữ liệu a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác; b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. 7. Quyền cung cấp dữ liệu Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 8. Quyền phản đối xử lý dữ liệu a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. 9. Quyền khiếu nại, tố cáo, khởi kiện Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật. 10. Quyền yêu cầu bồi thường thiệt hại Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. 11. Quyền tự bảo vệ Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự. Điều 10. Nghĩa vụ của chủ thể dữ liệu 1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình. 2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác. 3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân. 4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân. 5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Mục 2
Điều 11. Sự đồng ý của chủ thể dữ liệu 1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. 2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: a) Loại dữ liệu cá nhân được xử lý; b) Mục đích xử lý dữ liệu cá nhân; c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; d) Các quyền, nghĩa vụ của chủ thể dữ liệu. 3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. 4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. 5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. 7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. 8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. 9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. 10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. 11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác. Điều 12. Rút lại sự đồng ý 1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý. 2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý. 4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý. Điều 13. Thông báo xử lý dữ liệu cá nhân 1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân. 2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: a) Mục đích xử lý; b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; c) Cách thức xử lý; d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu. 3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau: a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật. Điều 14. Cung cấp dữ liệu cá nhân 1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình. 2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân: a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác; b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác. 3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác. 4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp: a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thân của người khác; c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân. 5. Hình thức yêu cầu cung cấp dữ liệu cá nhân: a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân. Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân. Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân; b) Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01, 02 tại Phụ lục của Nghị định này qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. 6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây: a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có); b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu; c) Hình thức cung cấp dữ liệu cá nhân; d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân. 7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan. 8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu; b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân. 9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này. Điều 15. Chỉnh sửa dữ liệu cá nhân 1. Chủ thể dữ liệu: a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác; b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình. 2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu. 3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu. Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân 1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau: a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật; đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật. 2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp: a) Pháp luật quy định không cho phép xóa dữ liệu; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật; c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật; d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật; đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật; e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác. 3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật. 4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật. 5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác. 6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục trong trường hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý; b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba; c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật. Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu 1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này. 2. Việc công khai dữ liệu cá nhân theo quy định của luật. 3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật. 4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật. 5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác. Điều 19. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết 1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thanh niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Nghị định này. 2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý. Điều 20. Xử lý dữ liệu cá nhân của trẻ em 1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. 2. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em. 3. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác; b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác; c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác. Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo 1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu. 2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm. 3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này. Điều 22. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân 1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình. 2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân 1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. 2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. 3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân; c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân; d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân. 4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn. 5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm. 6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau: a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân; b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật; c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng; d) Trường hợp khác theo quy định của pháp luật.
Mục 3
Điều 24. Đánh giá tác động xử lý dữ liệu cá nhân 1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; c) Mục đích xử lý dữ liệu cá nhân; d) Các loại dữ liệu cá nhân được xử lý; đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam; e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài; g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có); h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; i) Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. 2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân; c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân; d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có); đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài; e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. 3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân. 4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. 5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. 6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Điều 25. Chuyển dữ liệu cá nhân ra nước ngoài 1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba. 2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm: a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh; h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân. 3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. 4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công. 5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. 6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu. 7. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam. 8. Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp: a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam; b) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này; c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
Mục 4 BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 26. Biện pháp bảo vệ dữ liệu cá nhân 1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. 2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện; đ) Các biện pháp khác theo quy định của pháp luật. Điều 27. Bảo vệ dữ liệu cá nhân cơ bản 1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này. 2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này. 3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. 4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân. Điều 28. Bảo vệ dữ liệu cá nhân nhạy cảm 1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này. 2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. 3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này. Điều 29. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân 1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. 2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; b) Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan; e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Điều 30. Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân 1. Lực lượng bảo vệ dữ liệu cá nhân: a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân; b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân; c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân; d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân. 2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân. 3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Điều 31. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân 1. Nguồn tài chính thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác. 2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước. 3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
Chương III TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN Điều 32. Trách nhiệm của Bộ Công an 1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. 2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng. 3. Xây dựng, quản lý, vận hành cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. 4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. 5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này. 6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân. 7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật Điều 33. Trách nhiệm của Bộ Thông tin và Truyền thông 1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này. 2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao. 3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân. Điều 34. Trách nhiệm của Bộ Quốc phòng Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao. Điều 35. Trách nhiệm của Bộ Khoa học và Công nghệ 1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân. 2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ. Điều 36. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ 1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành. 4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành. 5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân. Điều 37. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương 1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành. 4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân. Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân 1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết. 2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân. 3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này. 4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp. 5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này. 6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân 1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân. 2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân. 3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan. 4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu. 6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. Điều 40. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân. Điều 41. Trách nhiệm của Bên thứ Ba Thực hiện đây đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này. Điều 42. Trách nhiệm của tổ chức, cá nhân có liên quan 1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp. 2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân. 4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
Chương IV ĐIỀU KHOẢN THI HÀNH
1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023. 2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miên trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp. 3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiêp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này. 1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này. 2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương chịu trách nhiệm thi hành Nghị định này.
Phụ lục (kèm theo Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ) _____________
Mẫu số 01 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
…, ngày….tháng…năm…. PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN (Dành cho cá nhân) Kính gửi:…..
1. Họ, tên cá nhân yêu cầu cung cấp dữ liệu cá nhân:...................................................... 2. Người đại diện/Người giám hộ1:.................................................................................. 3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu.............................................................. cấp ngày....... /.......... /…..tại.......................................................................................... 4. Nơi cư trú2:................................................................................................................ 5. Số điện thoại3................................. ; Fax................................. ; E-mail:................. 6. Dữ liệu cá nhân yêu cầu cung cấp4:............................................................................. 7. Mục đích yêu cầu cung cấp:........................................................................................ 8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ: a) Lần đầu b) Khác:............... (ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên) 9. Số lượng bản5:...................................... 10. Phương thức nhận dữ liệu cá nhân: □ Nhận tại nơi yêu cầu cung cấp □ Nhận qua bưu điện (ghi rõ địa chỉ nhận):....................................................................... □ Fax (ghi rõ số fax):...................................................................................................... □ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................ □ Hình thức khác (ghi rõ):............................................................................................... 11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU (Ký, ghi rõ họ tên)
_____________ 1Theo quy định của Bộ luật Dân sự về người đại diện, người giám hộ đối với người yêu cầu cung cấp thông tin là người chưa thành niên, người hạn chế năng lực hành vi dân sự, người mất năng lực hành vi dân sự, người có khó khăn trong nhận thức và làm chủ hành vi... 2Ghi nơi cư trú của người đại diện/người giám hộ. 3Ghi số điện thoại, fax, email của người đại diện/giám hộ. 4Ghi rõ tên chủ thể dữ liệu và các thông tin liên quan cần cung cấp. 5In, sao, chụp hoặc file dữ liệu.
Mẫu số 02 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
…, ngày….tháng…năm…. PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN (Dành cho tổ chức, doanh nghiệp) Kính gửi:…..
1. Tên tổ chức, doanh nghiệp:........................................................................................ 2. Người đại diện của tổ chức, doanh nghiệp1:................................................................ 3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu.............................................................. cấp ngày....... /......... /……tại......................................................................................... 4. Địa chỉ trụ sở của tổ chức, doanh nghiệp:.................................................................... 5. Số điện thoại2................................. ; Fax.................................. ; E-mail:................. 6. Dữ liệu cá nhân yêu cầu cung cấp:.............................................................................. 7. Mục đích yêu cầu cung cấp:........................................................................................ 8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ: a) Lần đầu b) Khác: ….(ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên) 9. Số lượng bản3:........................................................................................................... 10. Phương thức nhận văn bản, hồ sơ, tài liệu: □ Nhận tại nơi yêu cầu cung cấp thông tin □ Nhận qua bưu điện (ghi rõ địa chỉ nhận):....................................................................... □ Fax (ghi rõ số fax):...................................................................................................... □ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................ □ Hình thức khác (ghi rõ):............................................................................................... 11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU4 (Ký, ghi rõ họ tên)
_____ 1Theo quy định của Bộ luật Dân sự về người đại diện của tổ chức, doanh nghiệp. 2 Ghi số điện thoại, fax, email của người đại diện yêu cầu cung cấp thông tin. 3 In, sao, chụp hoặc file dữ liệu. 4 Người đại diện ký, ghi rõ họ tên và đóng dấu của tổ chức, doanh nghiệp đó.
Mẫu số 03
THÔNG BÁO VI PHẠM QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN Kính gửi: Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:.......................................................................................... - Địa chỉ trụ sở chính:...................................................................................................... - Địa chỉ trụ sở giao dịch:................................................................................................ - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….. do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................. Website...................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân: Họ và tên:...................................................................................................................... Chức danh:.................................................................................................................... Số điện thoại liên lạc (cố định và di động):...................................................................... Email:............................................................................................................................ 2. Mô tả hành vi vi phạm quy định bảo vệ dữ liệu cá nhân - Thời gian:.................................................................................................................... - Địa điểm:..................................................................................................................... - Hành vi:....................................................................................................................... - Tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.......................................................... Họ và tên:....................................................................................................................... Chức danh:..................................................................................................................... Số điện thoại liên lạc (cố định và di động):....................................................................... Email:............................................................................................................................. - Hậu quả xảy ra:............................................................................................................. - Biện pháp áp dụng:....................................................................................................... 1. ………… 2. ….. (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp thông tin cung cấp và tài liệu kèm theo.
_________ 1Tên tổ chức, doanh nghiệp
Mẫu số 04
THÔNG BÁO GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN Kính gửi: Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:......................................................................................... - Địa chỉ trụ sở chính:..................................................................................................... - Địa chỉ trụ sở giao dịch:............................................................................................... - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................. Website..................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:......................................................... Họ và tên:..................................................................................................................... Chức danh:................................................................................................................... Số điện thoại liên lạc (cố định và di động):..................................................................... Email:........................................................................................................................... 2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân 1. ……. 2. …… (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và tài liệu kèm theo.
_______ 1 Tên tổ chức, doanh nghiệp.
Mẫu số 05
THÔNG BÁO THAY ĐỔI NỘI DUNG HỒ SƠ……1 Kính gửi: Bộ Công an (Qua Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 2gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:.......................................................................................... - Địa chỉ trụ sở chính:..................................................................................................... - Địa chỉ trụ sở giao dịch: .............................................................................................. - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …. do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................ Website...................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:......................................................... Họ và tên:..................................................................................................................... Chức danh:................................................................................................................... Số điện thoại liên lạc (cố định và di động):...................................................................... Email:........................................................................................................................... 2. Mô tả tóm tắt thay đổi nội dung hồ sơ - Nội dung thay đổi:....................................................................................................... - Lý do thay đổi:............................................................................................................ 3. Tài liệu kèm theo 1. …… 2. ….. (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của nội dung thay đổi và tài liệu kèm theo.
________ 1Tên hồ sơ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. 2Tên tổ chức, doanh nghiệp.
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI Kính gửi: Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 1gửi Bộ Công an Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, như sau: 1. Thông tin về tổ chức, doanh nghiệp - Tên tổ chức, doanh nghiệp:.......................................................................................... - Địa chỉ trụ sở chính:..................................................................................................... - Địa chỉ trụ sở giao dịch:............................................................................................... - Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….do .... cấp ngày ... tháng ... năm ... tại ... - Điện thoại:................................ Website...................................................................... - Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:......................................................... Họ và tên:..................................................................................................................... Chức danh:................................................................................................................... Số điện thoại liên lạc (cố định và di động):...................................................................... Email:........................................................................................................................... 2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài 1. …. 2. ….. (Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và tài liệu kèm theo.
_________ 1Tên tổ chức, doanh nghiệp |
NGHỊ ĐỊNH
Bảo vệ dữ liệu cá nhân
____________
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015;
Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;
Theo đề nghị của Bộ trưởng Bộ Công an;
Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân.
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
2. Nghị định này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu cá nhân cơ bản bao gồm:
a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
5. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
6. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.
7 Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
8. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
13. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Điều 5. Quản lý nhà nước về bảo vệ dữ liệu cá nhân
Chính phủ thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân.
Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân gồm:
1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.
3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân.
5. Xây dựng, đào tạo, bồi dưỡng cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.
8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Điều 6. Áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
Việc bảo vệ dữ liệu cá nhân được thực hiện theo quy định các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên, các quy định khác của Luật có liên quan và Nghị định này.
Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân.
3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân.
4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
Điều 8. Hành vi bị nghiêm cấm
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Chương II
HOẠT ĐỘNG BẢO VỆ DỮ LIỆU CÁ NHÂN
Mục 1
QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
Điều 9. Quyền của chủ thể dữ liệu
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.
3. Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
6. Quyền hạn chế xử lý dữ liệu
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;
b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
8. Quyền phản đối xử lý dữ liệu
a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;
b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
9. Quyền khiếu nại, tố cáo, khởi kiện
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
10. Quyền yêu cầu bồi thường thiệt hại
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
11. Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
Điều 10. Nghĩa vụ của chủ thể dữ liệu
1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Mục 2
BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
Điều 11. Sự đồng ý của chủ thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
Điều 12. Rút lại sự đồng ý
1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
Điều 13. Thông báo xử lý dữ liệu cá nhân
1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
Điều 14. Cung cấp dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân:
a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp:
a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thân của người khác;
c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.
5. Hình thức yêu cầu cung cấp dữ liệu cá nhân:
a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân.
Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân;
b) Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01, 02 tại Phụ lục của Nghị định này qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có);
b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
c) Hình thức cung cấp dữ liệu cá nhân;
d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân.
7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.
8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân
a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu;
b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân.
9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân
Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
Điều 15. Chỉnh sửa dữ liệu cá nhân
1. Chủ thể dữ liệu:
a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác;
b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:
a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
b) Rút lại sự đồng ý;
c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:
a) Pháp luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Việc công khai dữ liệu cá nhân theo quy định của luật.
3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
Điều 19. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thanh niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Nghị định này.
2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
Điều 20. Xử lý dữ liệu cá nhân của trẻ em
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
2. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em.
3. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;
b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;
c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo
1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu.
2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này.
Điều 22. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
d) Trường hợp khác theo quy định của pháp luật.
Mục 3
ĐÁNH GIÁ TÁC ĐỘNG VÀ CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI
Điều 24. Đánh giá tác động xử lý dữ liệu cá nhân
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này.
Điều 25. Chuyển dữ liệu cá nhân ra nước ngoài
1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba.
2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:
a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
7. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
8. Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:
a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
b) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này;
c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
Mục 4
BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
Điều 26. Biện pháp bảo vệ dữ liệu cá nhân
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
đ) Các biện pháp khác theo quy định của pháp luật.
Điều 27. Bảo vệ dữ liệu cá nhân cơ bản
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này.
2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này.
3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
Điều 28. Bảo vệ dữ liệu cá nhân nhạy cảm
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này.
2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này.
Điều 29. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân:
a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
b) Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân;
c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân;
d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng;
đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;
g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 30. Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Điều 31. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Nguồn tài chính thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.
2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
Chương III
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 32. Trách nhiệm của Bộ Công an
1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
3. Xây dựng, quản lý, vận hành cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật
Điều 33. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao.
3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Điều 34. Trách nhiệm của Bộ Quốc phòng
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
Điều 35. Trách nhiệm của Bộ Khoa học và Công nghệ
1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân.
2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
Điều 36. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
Điều 37. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 40. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Điều 41. Trách nhiệm của Bên thứ Ba
Thực hiện đây đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này.
Điều 42. Trách nhiệm của tổ chức, cá nhân có liên quan
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
Chương IV
ĐIỀU KHOẢN THI HÀNH
1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023.
2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miên trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.
3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiêp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này.
2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương chịu trách nhiệm thi hành Nghị định này.
Nơi nhận: - Ban Bí thư Trung ương Đảng; - Thủ tướng, các Phó Thủ tướng Chính phủ; - Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; - HĐND, UBND các tỉnh, thành phố trực thuộc ương; - Văn phòng Trung ương và các Ban của Đảng; - Văn phòng Tổng Bí thư; - Văn phòng Chủ tịch nước; - Hội đồng Dân tộc và các Ủy ban của Quốc hội; - Văn phòng Quốc hội; - Viện kiểm sát nhân dân tối cao; - Tòa án nhân dân tối cao; - Kiểm toán nhà nước; - Ủy ban Giám sát tài chính Quốc gia; - Ngân hàng Chính sách xà hội; - Ngân hàng Phát triển Việt Nam; - Ủy ban trung ương Mặt trận Tổ quốc Việt Nam; - Cơ quan trung ương của các đoàn thể; - VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo; - Lưu: VT, KSTT (2b)TM |
TM. CHÍNH PHỦ KT. THỦ TƯỚNG PHÓ THỦ TƯỚNG
Trần Lưu Quang
|
Phụ lục
(kèm theo Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ)
_____________
Mẫu số 01 |
Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho cá nhân) |
Mẫu số 02 |
Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho tổ chức, doanh nghiệp) |
Mẫu số 03 |
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân |
Mẫu số 04 |
Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân |
Mẫu số 05 |
Thông báo thay đổi nội dung hồ sơ |
Mẫu số 06 |
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài |
Mẫu số 01
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
______________________
…, ngày….tháng…năm….
PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN
(Dành cho cá nhân)
Kính gửi:…..
1. Họ, tên cá nhân yêu cầu cung cấp dữ liệu cá nhân:......................................................
2. Người đại diện/Người giám hộ1:..................................................................................
3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu..............................................................
cấp ngày....... /.......... /…..tại..........................................................................................
4. Nơi cư trú2:................................................................................................................
5. Số điện thoại3................................. ; Fax................................. ; E-mail:.................
6. Dữ liệu cá nhân yêu cầu cung cấp4:.............................................................................
7. Mục đích yêu cầu cung cấp:........................................................................................
8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ:
a) Lần đầu b) Khác:............... (ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên)
9. Số lượng bản5:......................................
10. Phương thức nhận dữ liệu cá nhân:
□ Nhận tại nơi yêu cầu cung cấp
□ Nhận qua bưu điện (ghi rõ địa chỉ nhận):.......................................................................
□ Fax (ghi rõ số fax):......................................................................................................
□ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................
□ Hình thức khác (ghi rõ):...............................................................................................
11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU
(Ký, ghi rõ họ tên)
_____________
1Theo quy định của Bộ luật Dân sự về người đại diện, người giám hộ đối với người yêu cầu cung cấp thông tin là người chưa thành niên, người hạn chế năng lực hành vi dân sự, người mất năng lực hành vi dân sự, người có khó khăn trong nhận thức và làm chủ hành vi...
2Ghi nơi cư trú của người đại diện/người giám hộ.
3Ghi số điện thoại, fax, email của người đại diện/giám hộ.
4Ghi rõ tên chủ thể dữ liệu và các thông tin liên quan cần cung cấp.
5In, sao, chụp hoặc file dữ liệu.
Mẫu số 02
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
______________________
…, ngày….tháng…năm….
PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN
(Dành cho tổ chức, doanh nghiệp)
Kính gửi:…..
1. Tên tổ chức, doanh nghiệp:........................................................................................
2. Người đại diện của tổ chức, doanh nghiệp1:................................................................
3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu..............................................................
cấp ngày....... /......... /……tại.........................................................................................
4. Địa chỉ trụ sở của tổ chức, doanh nghiệp:....................................................................
5. Số điện thoại2................................. ; Fax.................................. ; E-mail:.................
6. Dữ liệu cá nhân yêu cầu cung cấp:..............................................................................
7. Mục đích yêu cầu cung cấp:........................................................................................
8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ:
a) Lần đầu b) Khác: ….(ghi rõ số lần đã yêu cầu cung cấp thông tin có nội dung nêu trên)
9. Số lượng bản3:...........................................................................................................
10. Phương thức nhận văn bản, hồ sơ, tài liệu:
□ Nhận tại nơi yêu cầu cung cấp thông tin
□ Nhận qua bưu điện (ghi rõ địa chỉ nhận):.......................................................................
□ Fax (ghi rõ số fax):......................................................................................................
□ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................................
□ Hình thức khác (ghi rõ):...............................................................................................
11. Văn bản kèm theo (trong trường hợp có điều kiện):....
NGƯỜI YÊU CẦU4
(Ký, ghi rõ họ tên)
_____
1Theo quy định của Bộ luật Dân sự về người đại diện của tổ chức, doanh nghiệp.
2 Ghi số điện thoại, fax, email của người đại diện yêu cầu cung cấp thông tin.
3 In, sao, chụp hoặc file dữ liệu.
4 Người đại diện ký, ghi rõ họ tên và đóng dấu của tổ chức, doanh nghiệp đó.
Mẫu số 03
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
THÔNG BÁO
VI PHẠM QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:..........................................................................................
- Địa chỉ trụ sở chính:......................................................................................................
- Địa chỉ trụ sở giao dịch:................................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….. do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................. Website......................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:
Họ và tên:......................................................................................................................
Chức danh:....................................................................................................................
Số điện thoại liên lạc (cố định và di động):......................................................................
Email:............................................................................................................................
2. Mô tả hành vi vi phạm quy định bảo vệ dữ liệu cá nhân
- Thời gian:....................................................................................................................
- Địa điểm:.....................................................................................................................
- Hành vi:.......................................................................................................................
- Tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:..........................................................
Họ và tên:.......................................................................................................................
Chức danh:.....................................................................................................................
Số điện thoại liên lạc (cố định và di động):.......................................................................
Email:.............................................................................................................................
- Hậu quả xảy ra:.............................................................................................................
- Biện pháp áp dụng:.......................................................................................................
1. …………
2. …..
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp thông tin cung cấp và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
_________
1Tên tổ chức, doanh nghiệp
Mẫu số 04
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
THÔNG BÁO
GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,........................................ 1 gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:.........................................................................................
- Địa chỉ trụ sở chính:.....................................................................................................
- Địa chỉ trụ sở giao dịch:...............................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................. Website.....................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.........................................................
Họ và tên:.....................................................................................................................
Chức danh:...................................................................................................................
Số điện thoại liên lạc (cố định và di động):.....................................................................
Email:...........................................................................................................................
2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
1. …….
2. ……
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
_______
1 Tên tổ chức, doanh nghiệp.
Mẫu số 05
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
THÔNG BÁO
THAY ĐỔI NỘI DUNG HỒ SƠ……1
Kính gửi: Bộ Công an
(Qua Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 2gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:..........................................................................................
- Địa chỉ trụ sở chính:.....................................................................................................
- Địa chỉ trụ sở giao dịch: ..............................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …. do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................ Website......................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.........................................................
Họ và tên:.....................................................................................................................
Chức danh:...................................................................................................................
Số điện thoại liên lạc (cố định và di động):......................................................................
Email:...........................................................................................................................
2. Mô tả tóm tắt thay đổi nội dung hồ sơ
- Nội dung thay đổi:.......................................................................................................
- Lý do thay đổi:............................................................................................................
3. Tài liệu kèm theo
1. ……
2. …..
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của nội dung thay đổi và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
________
1Tên hồ sơ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
2Tên tổ chức, doanh nghiệp.
TÊN TỔ CHỨC Số: … |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM …., ngày ... tháng ... năm ... |
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,....................................... 1gửi Bộ Công an Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:..........................................................................................
- Địa chỉ trụ sở chính:.....................................................................................................
- Địa chỉ trụ sở giao dịch:...............................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….do .... cấp ngày ... tháng ... năm ... tại ...
- Điện thoại:................................ Website......................................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.........................................................
Họ và tên:.....................................................................................................................
Chức danh:...................................................................................................................
Số điện thoại liên lạc (cố định và di động):......................................................................
Email:...........................................................................................................................
2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
1. ….
2. …..
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và tài liệu kèm theo.
Nơi nhận: - Như trên; ....
|
TM. TỔ CHỨC, DOANH NGHIỆP |
_________
1Tên tổ chức, doanh nghiệp