Tìm kiếm
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
| Số hiệu: | 13/2023/NĐ-CP | Loại văn bản: | Nghị định |
| Nơi ban hành: | Chính phủ | Người ký: | Trần Lưu Quang |
| Ngày ban hành: | 17/04/2023 | Ngày hiệu lực: | 01/07/2023 |
| Ngày công báo: | 30/04/2023 | Số công báo: | Từ số 685 đến số 686 |
| Lĩnh vực: | Công nghệ thông tin, Quyền dân sự | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Ngày 17/04/2023, Chính phủ ban hành Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân trong đó quy định về quyền của chủ thể dữ liệu trong hoạt động bảo vệ dữ liệu cá nhân.
Quyền của chủ thể dữ liệu trong hoạt động bảo vệ dữ liệu cá nhân
Theo đó, quyền của chủ thể dữ liệu trong hoạt động bảo vệ dữ liệu cá nhân bao gồm:
- Thứ nhất, quyền được biết:
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ hai, quyền đồng ý:
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP .
- Thứ ba, quyền truy cập:
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ tư, quyền rút lại sự đồng ý:
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
Thứ năm, quyền xóa dữ liệu:
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ sáu, quyền hạn chế xử lý dữ liệu:
+ Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+ Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
- Thứ bảy, quyền cung cấp dữ liệu:
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ tám, quyền phản đối xử lý dữ liệu:
+ Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác.
+ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
- Thứ chín, quyền khiếu nại, tố cáo, khởi kiện:
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
- Tiếp theo, quyền yêu cầu bồi thường thiệt hại:
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
- Cuối cùng, quyền tự bảo vệ:
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định 13/2023/NĐ-CP , hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự 2015.
Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 01/07/2023.
Văn bản tiếng việt
Nghị định 13/2023/NĐ-CP (Bản Word)
Nghị định 13/2023/NĐ-CP (Bản Pdf)
Văn bản tiếng anh
|
CHÍNH PHỦ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 13/2023/NĐ-CP |
Hà Nội, ngày 17 tháng 4 năm 2023 |
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015;
Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;
Theo đề nghị của Bộ trưởng Bộ Công an;
Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân.
1. Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
2. Nghị định này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
3. Dữ liệu cá nhân cơ bản bao gồm:
a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
5. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
6. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.
7. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
8. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
13. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Chính phủ thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân.
Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân gồm:
1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.
3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân.
5. Xây dựng, đào tạo, bồi dưỡng cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân.
6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.
8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Việc bảo vệ dữ liệu cá nhân được thực hiện theo quy định các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên, các quy định khác của Luật có liên quan và Nghị định này.
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân.
3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân.
4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.
3. Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
6. Quyền hạn chế xử lý dữ liệu
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;
b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
8. Quyền phản đối xử lý dữ liệu
a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;
b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
9. Quyền khiếu nại, tố cáo, khởi kiện
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
10. Quyền yêu cầu bồi thường thiệt hại
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
11. Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân:
a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp:
a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;
c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.
5. Hình thức yêu cầu cung cấp dữ liệu cá nhân:
a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân.
Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân;
b) Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01, 02 tại Phụ lục của Nghị định này qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có);
b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
c) Hình thức cung cấp dữ liệu cá nhân;
d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân.
7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.
8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân
a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu;
b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân.
9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân
Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
1. Chủ thể dữ liệu:
a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác;
b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:
a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
b) Rút lại sự đồng ý;
c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:
a) Pháp luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Việc công khai dữ liệu cá nhân theo quy định của luật.
3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Nghị định này.
2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
2. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em.
3. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;
b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;
c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu.
2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này.
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
d) Trường hợp khác theo quy định của pháp luật.
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này.
1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba.
2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:
a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
7. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
8. Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:
a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
b) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này;
c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
đ) Các biện pháp khác theo quy định của pháp luật.
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này.
2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này.
3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này.
2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này.
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân:
a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
b) Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân;
c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân;
d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng;
đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;
g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
1. Nguồn tài chính thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.
2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
3. Xây dựng, quản lý, vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao.
3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân.
2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này.
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023.
2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.
3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này.
2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương chịu trách nhiệm thi hành Nghị định này./.
|
|
TM. CHÍNH PHỦ |
(Kèm theo Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ)
|
Mẫu số 01 |
Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho cá nhân) |
|
Mẫu số 02 |
Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho tổ chức, doanh nghiệp) |
|
Mẫu số 03 |
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân |
|
Mẫu số 04 |
Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân |
|
Mẫu số 05 |
Thông báo thay đổi nội dung hồ sơ |
|
Mẫu số 06 |
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
--------------
.........., ngày...... tháng...... năm......
PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN
(Dành cho cá nhân)
Kính gửi:..................................................
1. Họ, tên cá nhân yêu cầu cung cấp dữ liệu cá nhân:..........................................
..............................................................................................................................
2. Người đại diện/Người giám hộ[1]:.......................................................................
3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu.................................................
cấp ngày...../....../........ tại......................................................................................
4. Nơi cư trú[2]:.............................................................................................................
5. Số điện thoại[3]..................; Fax.....................; E-mail:...............................................
6. Dữ liệu cá nhân yêu cầu cung cấp[4]:..........................................................................
7. Mục đích yêu cầu cung cấp:..............................................................................
8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ:
a) Lần đầu b) Khác:.......... (ghi rõ số lần đã yêu cầu cung cấp thông tin
có nội dung nêu trên)
9. Số lượng bản[5]:..................................................................................................
10. Phương thức nhận dữ liệu cá nhân:
|
□ Nhận tại nơi yêu cầu cung cấp □ Nhận qua bưu điện (ghi rõ địa chỉ nhận):....................................................... |
|
□ Fax (ghi rõ số fax):......................................................................................... |
|
□ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):................................................ |
|
□ Hình thức khác (ghi rõ):................................................................................. |
11. Văn bản kèm theo (trong trường hợp có điều kiện):...........................................
|
|
NGƯỜI YÊU CẦU |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
--------------
.........., ngày...... tháng...... năm......
PHIẾU YÊU CẦU CUNG CẤP DỮ LIỆU CÁ NHÂN
(Dành cho tổ chức, doanh nghiệp)
Kính gửi:...............................................
1. Tên tổ chức, doanh nghiệp:...............................................................................
..................................................................................................................................
2. Người đại diện của tổ chức, doanh nghiệp1:[6]:...........................................................
3. Số CMTND/Thẻ căn cước công dân/Hộ chiếu.................................................
cấp ngày...../....../........ tại............................................................................................
4. Địa chỉ trụ sở của tổ chức, doanh nghiệp:................................................................
5. Số điện thoại2[7].........................; Fax...............................; E-mail:......................
6. Dữ liệu cá nhân yêu cầu cung cấp:...................................................................
7. Mục đích yêu cầu cung cấp:..............................................................................
8. Yêu cầu cung cấp dữ liệu cá nhân lần thứ:
a) Lần đầu b) Khác:......... (ghi rõ số lần đã yêu cầu cung cấp thông tin
có nội dung nêu trên)
9. Số lượng bản3:[8]:.....................................................................................................
10. Phương thức nhận văn bản, hồ sơ, tài liệu:
|
□ Nhận tại nơi yêu cầu cung cấp thông tin □ Nhận qua bưu điện (ghi rõ địa chỉ nhận):......................................................... |
|
□ Fax (ghi rõ số fax):........................................................................................... |
|
□ Nhận qua mạng điện tử (ghi rõ địa chỉ nhận):.................................................. |
|
□ Hình thức khác (ghi rõ):................................................................................... |
11. Văn bản kèm theo (trong trường hợp có điều kiện):....
|
|
NGƯỜI YÊU CẦU4[9] |
|
TÊN TỔ CHỨC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: |
....., ngày... tháng... năm... |
VI PHẠM QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,..................1[10] gửi Bộ Công an hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:................................................................................
- Địa chỉ trụ sở chính:...........................................................................................
- Địa chỉ trụ sở giao dịch:.....................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số:..... do.... cấp ngày... tháng... năm... tại...
- Điện thoại:.......................................... Website..................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:
Họ và tên:..............................................................................................................
Chức danh:............................................................................................................
Số điện thoại liên lạc (cố định và di động):..........................................................
Email:....................................................................................................................
2. Mô tả hành vi vi phạm quy định bảo vệ dữ liệu cá nhân
- Thời gian:...........................................................................................................
- Địa điểm:............................................................................................................
- Hành vi:..............................................................................................................
- Tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.............................................
Họ và tên:..............................................................................................................
Chức danh:............................................................................................................
Số điện thoại liên lạc (cố định và di động):..........................................................
Email:....................................................................................................................
- Hậu quả xảy ra:...................................................................................................
- Biện pháp áp dụng:.............................................................................................
3. Tài liệu kèm theo
1............................................................................................................................
2............................................................................................................................
4. Cam kết
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp thông tin cung cấp và tài liệu kèm theo.
|
Nơi nhận: |
TM. TỔ CHỨC, DOANH NGHIỆP |
|
TÊN TỔ CHỨC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: |
........, ngày…. tháng... năm... |
GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao,
Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,..................1[11] gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:................................................................................
- Địa chỉ trụ sở chính:...........................................................................................
- Địa chỉ trụ sở giao dịch:......................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số:..... do.... cấp ngày... tháng... năm... tại...
- Điện thoại:.............................. Website..............................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.............................................
Họ và tên:.............................................................................................................
Chức danh:............................................................................................................
Số điện thoại liên lạc (cố định và di động):.........................................................
Email:....................................................................................................................
2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
1............................................................................................................................
2.............................................................................................................................
3. Cam kết
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và tài liệu kèm theo.
|
Nơi nhận: |
TM. TỔ CHỨC, DOANH NGHIỆP |
|
TÊN TỔ CHỨC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: |
........, ngày…. tháng... năm... |
THAY ĐỔI NỘI DUNG HỒ SƠ......1[12]
Kính gửi: Bộ Công an
(Qua Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,..................2[13] gửi Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:................................................................................
- Địa chỉ trụ sở chính:...........................................................................................
- Địa chỉ trụ sở giao dịch:.....................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số:..... do.... cấp ngày... tháng... năm... tại...
- Điện thoại:................................ Website............................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.............................................
Họ và tên:.............................................................................................................
Chức danh:...........................................................................................................
Số điện thoại liên lạc (cố định và di động):..........................................................
Email:....................................................................................................................
2. Mô tả tóm tắt thay đổi nội dung hồ sơ
- Nội dung thay đổi:..............................................................................................
- Lý do thay đổi:...................................................................................................
3. Tài liệu kèm theo
1.............................................................................................................................
2.............................................................................................................................
4. Cam kết
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của nội dung thay đổi và tài liệu kèm theo.
|
Nơi nhận: |
TM. TỔ CHỨC, DOANH NGHIỆP |
|
TÊN TỔ CHỨC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: |
........, ngày…. tháng... năm... |
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI
Kính gửi: Bộ Công an
(Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an)
Thực hiện quy định về bảo vệ dữ liệu cá nhân,..................1[14] gửi Bộ Công an Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, như sau:
1. Thông tin về tổ chức, doanh nghiệp
- Tên tổ chức, doanh nghiệp:................................................................................
- Địa chỉ trụ sở chính:...........................................................................................
- Địa chỉ trụ sở giao dịch:.....................................................................................
- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số:…... do.... cấp ngày... tháng... năm... tại...
- Điện thoại:............................... Website.............................................................
- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.............................................
Họ và tên:..............................................................................................................
Chức danh:............................................................................................................
Số điện thoại liên lạc (cố định và di động):..........................................................
Email:....................................................................................................................
2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
1............................................................................................................................
2............................................................................................................................
3. Cam kết
(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và tài liệu kèm theo.
|
Nơi nhận: |
TM. TỔ CHỨC, DOANH NGHIỆP |
[1] Theo quy định của Bộ luật Dân sự về người đại diện, người giám hộ đối với người yêu cầu cung cấp thông tin là người chưa thành niên, người hạn chế năng lực hành vi dân sự, người mất năng lực hành vi dân sự, người có khó khăn trong nhận thức và làm chủ hành vi…
[2] Ghi nơi cư trú của người đại diện/người giám hộ.
[3] Ghi số điện thoại, fax, email của người đại diện/giám hộ.
[4] Ghi rõ tên chủ thể dữ liệu và các thông tin liên quan cần cung cấp.
[5] In, sao, chụp hoặc file dữ liệu.
1 Theo quy định của Bộ luật Dân sự về người đại diện của tổ chức, doanh nghiệp.
2 Ghi số điện thoại, fax, email của người đại diện yêu cầu cung cấp thông tin.
3 In, sao, chụp hoặc file dữ liệu.
4 Người đại diện ký, ghi rõ họ tên và đóng dấu của tổ chức, doanh nghiệp đó.
1 Tên tổ chức, doanh nghiệp
1 Tên tổ chức, doanh nghiệp.
1 Tên hồ sơ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
2 Tên tổ chức, doanh nghiệp.
1 Tên tổ chức, doanh nghiệp
|
THE GOVERNMENT OF VIETNAM |
THE SOCIALIST REPUBLIC OF VIETNAM |
|
No. 13/2023/ND-CP |
Hanoi, April 17, 2023 |
DECREE
Pursuant to the Law on Government Organization dated June 19, 2015; the Law on amendments to some Articles of the Law on Government Organization and Law on Local Government Organization dated November 22, 2019;
Pursuant to Civil Code dated November 24, 2015;
Pursuant to the Law on National Security dated December 03, 2004;
Pursuant to the Cybersecurity Law dated June 12, 2018;
At the request of the Minister of Public Security of Vietnam;
The Government promulgates a Decree on protection of personal data.
GENERAL PROVISIONS
Article 1. Scope and regulated entities
1. This Decree provides for personal data protection and responsibilities of relevant agencies, organizations and individuals for protection of personal data.
2. This Decree applies to:
a) Vietnamese agencies, organizations and individuals;
b) Foreign authorities, entities and individuals in Vietnam;
c) Vietnamese agencies, organizations and individuals that operate in foreign countries;
d) Foreign agencies, organizations and individuals that directly process or are involved in processing personal data in Vietnam.
Article 2. Definition of terms
For the purpose of this Decree, the following terms shall be construed as follows:
1. “Personal data” refers to electronic information in the form of symbols, letters, numbers, images, sounds, or equivalences associated with an individual or used to identify an individual. The personal data includes general personal data and sensitive personal data.
2. “Information used for identification of an individual" refers to information that results from an individual's activities and may identify an individual when it is combined with other stored information and data.
3. General personal data includes:
a) Last name, middle name and first name, other names (if any);
b) Date of birth; date of death or going missing;
c) Gender;
d) Place of birth, registered place of birth; place of permanent residence; place of temporary residence; current place of residence; hometown; contact address;
dd) Nationality;
e) Personal image;
e) Phone number; ID Card number, personal identification number, passport number, driver’s license number, license plate, taxpayer identification number, social security number and health insurance card number;
h) Marital status;
i) Information about the individual’s family relationship (parents, children);
k) Digital account information; personal data that reflects activities and activity history in cyberspace;
l) Information associated with an individual or used to identify an individual other than that specified in Clause 4 of this Article.
4. “Sensitive personal data” refers to personal data in association with individual privacy which, when being infringed, will directly affect an individual's legal rights and interests, including:
a) Political and religious opinions;
b) Health condition and personal information stated in health record, excluding information on blood group;
c) Information about racial or ethnic origin;
d) Information about genetic data related to an individual's inherited or acquired genetic characteristics;
dd) Information about an individual’s own biometric or biological characteristics;
e) Information about an individual’s sex life or sexual orientation.
g) Data on crimes and criminal activities collected and stored by law enforcement agencies;
h) Information on customers of credit institutions, foreign bank branches, payment service providers and other licensed institutions, including: customer identification as prescribed by law, accounts, deposits, deposited assets, transactions, organizations and individuals that are guarantors at credit institutions, bank branches, and payment service providers;
i) Personal location identified via location services;
k) Other specific personal data as prescribed by law that requires special protection.
5. “Personal data protection” refers to an act of preventing, detecting and handling violations related to personal data in accordance with the law.
6. “Data subject” refers to an individual to whom the data relates.
7. “Personal data processing” refers to one or multiple activities that impact on personal data, including collection, recording, analysis, confirmation, storage, rectification, disclosure, combination, access, traceability, retrieval, encryption, decryption, copying, sharing, transmission, provision, transfer, deletion, destruction or other relevant activities.
8. “Consent” of a data subject refers to an act that the data subject permits the processing of his/her personal data in a clear, voluntary and affirmative manner.
9. “Personal Data Controller” refers to an organization or individual that decides purposes and means of processing personal data.
10. “Personal Data Processor” refers to an organization or individual that processes data on behalf of the Personal Data Controller via a contract or agreement with the Personal Data Controller.
11. “Personal Data Controller-cum-Processor” refers to an organization or individual that jointly decides purposes and means, and directly processes personal data.
12. “Third Party” refers to an organization or individual other than the data subject, Personal Data Controller, Personal Data Processor, and Personal Data Controller-cum-Processor that is permitted to process personal data.
13. "Automated processing of personal data” refers to a form of personal data processing performed by electronic devices with a view to assessing, analyzing and predicting an individual’s activities, including habits, preference, reliability, behavior, location, trends, capability and other circumstances.
14. “Outbound transfer of personal data” refers to an act of using cyberspace, electronic devices, equipment, or other forms to transfer personal data of a Vietnamese citizen to a location outside the territory of the Socialist Republic of Vietnam or using a location outside the territory of the Socialist Republic of Vietnam to process personal data of a Vietnamese citizen. To be specific:
a) An organization, enterprise or individual transfers personal data of a Vietnamese citizen to an overseas organization, enterprise or management department in order to process the data for the purposes agreed upon by the data subject;
b) The personal data of a Vietnamese citizen is processed by automatic systems outside the territory of the Socialist Republic of Vietnam of the Personal Data Controller, Personal Data Controller-cum-Processor, Personal Data Processor for the purposes agreed upon by the data subject.
Article 3. Rules for protection of personal data
1. The personal data shall be processed as prescribed by law.
2. The data subject shall be entitled to receive information related to the processing of his/her personal data, unless otherwise provided for by law.
3. The personal data shall be processed for the purposes that have been registered and declared by the Personal Data Controller, the Personal Data Processor, the Personal Data Controller-cum-Processor and the Third Party.
4. The collected personal data shall be appropriate for the scope and purposes of processing. The purchase or sale of personal data shall be prohibited in any form, unless otherwise provided for by law.
5. The personal data shall be updated and added for the processing purposes.
6. The personal data shall be protected and secured throughout the processing. To be specific, the personal data shall be protected from violations against regulations on protection of personal data and prevention of loss, destruction or damage caused by incidents and use of technical measures.
7. The personal data shall be stored within a period of time that is appropriate for the processing purposes, unless otherwise provided for by law.
8. The Personal Data Controller and the Personal Data Controller-cum-Processor shall comply with the rules for data processing specified in Clauses 1 through 7 of this Article and prove their compliance.
Article 4. Handling violations against regulations on protection of personal data
Agencies, organizations and individuals that commit violations against regulations on protection of personal data, depending on the severity of their violations, may be disciplined, or face administrative penalties or criminal prosecution according to regulations.
Article 5. State management of personal data protection
The Government shall ensure uniform state management of personal data protection.
Contents of state management include:
1. Requesting competent authorities to promulgate or promulgate within its jurisdiction legal documents, and directing and organizing the implementation of legal documents on protection of personal data.
2. Formulating and organizing the implementation of strategies, policies, schemes, projects, programs and plans for protection of personal data.
3. Providing guidance on measures, procedures and standards of protection of personal data for agencies, organizations and individuals in accordance with law.
4. Disseminating and educating the law on protection of personal data; communicating and disseminating skills and knowledge about protection of personal data.
5. Developing and providing training and refresher training for officials, public employees and persons assigned to protect personal data.
6. Inspecting the observance of law on protection of personal data; handling complaints, denunciations and violations against regulations on protection of personal data as prescribed by law.
7. Compiling statistics, and giving information and reports on protection of personal data and the observance of law on personal data protection to competent authorities.
8. Encouraging international cooperation in protection of personal data.
Article 6. Application of Decree on protection of personal data, relevant laws and international treaties
The personal data protection shall comply with regulations of international treaties to which the Socialist Republic of Vietnam is a signatory, relevant laws and this Decree.
Article 7. International cooperation in protection of personal data.
1. Developing mechanisms for international cooperation in order to facilitate the effective enforcement of laws on protection of personal data.
2. Engaging in judicial assistance in protecting personal data by other countries, including notification, complaints, assistance in investigating and exchanging information, and appropriate measures for protecting personal data.
3. Organizing conferences and seminars, conducting scientific research and promoting international cooperation in enforcement of the law on protection of personal data.
4. Organizing bilateral and multilateral meetings to exchange experience in drafting legislation and having the practice of protection of personal data.
5. Transferring technology serving protection of personal data.
1. Processing personal data in contravention of regulations of law on protection of personal data.
2. Processing personal data in order to provide information and data against regulations of the Socialist Republic of Vietnam
3. Processing personal data in order to provide information and data that affect national security, social order and safety, and legitimate rights and interests of other organizations and individuals.
4. Obstructing protection of personal data by competent authorities.
5. Taking advantage of protection of personal data to commit violations of law.
PERSONAL DATA PROTECTION
Section 1. RIGHTS AND OBLIGATIONS OF DATA SUBJECT
Article 9. Data subject’s rights
1. Right to be informed
The data subject has the right to be informed of his/her personal data processing, unless otherwise provided for by law.
2. Right to give consent
The data subject has the right to give consent to the processing of his/her personal data, other than cases specified in Article 17 of this Decree.
3. Right to access personal data
The data subject has the right to access his/her personal data in order to look at, rectify or request rectification of his/her personal data, unless otherwise provided for by law.
4. Right to withdraw consent
The data subject has the right to withdraw his/her consent, unless otherwise provided for by law.
5. Right to delete personal data
The data subject has the right to delete or request deletion of his/her personal data, unless otherwise provided for by law.
6. Right to obtain restriction on processing
a) The data subject has the right to obtain restriction on the processing of his/her personal data, unless otherwise provided for by law.
b) The restriction on the processing of personal data shall be implemented within 72 hours after receiving request of the data subject, and all personal data that the data subject requests the restriction, unless otherwise provided for by law.
7. Right to obtain personal data
The data subject has the right to request the Personal Data Controller and the Personal Data Controller-cum-Processor to provide him/her with his/her personal data, unless otherwise provided for by law.
8. Right to object to processing
a) The data subject has the right to object to the Personal Data Controller and the Personal Data Controller-cum-Processor processing his/her personal data in order to prevent or restrict the disclosure of personal data or the use of personal data for advertising and marketing purposes, unless otherwise provided for by law.
b) The Personal Data Controller and the Personal Data Controller-cum-Processor shall comply with the data subject’s request within 72 hours after receiving the request, unless otherwise provided for by law.
9. Right to file complaints, denunciations and lawsuits
The data subject has the right to file complaints, denunciations and lawsuits as prescribed by law.
10. Right to claim damage
The data subject has the right to claim damage as prescribed by law when there are violations against regulations on protection of his/her personal data, unless otherwise agreed by parties or unless otherwise prescribed by law.
11. Right to self-protection
The data subject has the right to self-protection according to regulations in the Civil Code, other relevant laws and this Decree, or request competent agencies and organizations to implement civil right protection methods according to regulations in Article 11 of the Civil Code.
Article 10. Data subject’s obligations
1. Protect his/her own personal data; request relevant organizations and individuals to protect his/her personal data.
2. Respect and protect others’ personal data.
3. Fully and accurately provide his/her personal data when he/she consents to the processing.
4. Participate in dissemination of personal data protection skills.
5. Comply with regulations of law on protection of personal data and prevent violations against regulations on protection of personal data.
Section 2. PERSONAL DATA PROTECTION THROUGHOUT THE PROCESS OF PROCESSING
Article 11. Consent of a data subject
1. The consent of the data subject shall be granted to all activities in the processing of his/her personal data, unless otherwise provided for by law.
2. The consent is only valid when the data subject voluntarily consents and clearly knows the following contents:
a) Type of personal data;
b) Purposes;
c) Organization or individual permitted to process personal data;
d) Rights and obligations of the data subject.
3. The consent of the data subject shall be expressed in a clear and specific manner in writing, by voice, by ticking the consent box, by consent syntax via message, by selecting consent settings or by other forms.
4. The consent must be bound to the same purpose. In case of multiple purposes, the Personal Data Controller and the Personal Data Controller-cum-Processor shall list these purposes so that the data subject consents to one or several purposes that have been set out.
5. The consent of the data subject shall be expressed in a format that can be printed and reproduced in writing, including in electronic or verifiable format.
6. Silence or non-response is not considered as consent.
7. The data subject may give partial or conditional consent.
8. In case of the processing of sensitive personal data, the data subject shall receive notification of thereof.
9. The consent of the data subject is valid until the data subject has other decisions or the competent authority makes written request.
10. In case of a dispute, the Personal Data Controller and the Personal Data Controller-cum-Processor shall prove consent of the data subject.
11. Via the authorization in accordance with regulations of the Civil Code, an organization or individual may act on behalf of the data subject to carry out procedures related to the processing of his/her personal data with the Personal Data Controller and the Personal Data Controller-cum-Processor in case the data subject knows and consents as prescribed in Clause 3 of this Article, unless otherwise provided for by law.
Article 12. Consent withdrawal
1. The withdrawal of consent shall not affect the lawfulness of the processing to which consent was given before it is withdrawn.
2. The withdrawal of consent shall be expressed in a format that can be printed and reproduced in writing, including in electronic or verifiable format.
3. When obtaining request for consent withdrawal from the data subject, the Personal Data Controller and the Personal Data Controller-cum-Processor shall notify the data subject of potential consequences and damage if she/he withdraws his/her consent.
4. After complying with regulations in Clause 2 of this Article, the Personal Data Controller, the Personal Data Processor, the Personal Data Controller-cum-Processor and the Third Party shall stop and request relevant organizations and individuals to stop processing the personal data of the data subject who has withdrawn his/her consent.
Article 13. Notification of personal data processing
1. The notification shall be made once before the personal data is processed.
2. The following contents of the processing of personal data shall be notified to the data subject:
a) Processing purposes;
b) Type of used personal data related to the purposes specified in Point a Clause 2 of this Article;
c) Method of processing personal data;
d) Information on other organizations and individuals related to the processing purposes specified in point a Clause 2 of this Article;
dd) Undesirable consequences and damage that may occur;
e) Starting and ending time.
3. The notification to the data subject shall be expressed in a format that can be printed and reproduced in writing, including in electronic or verifiable format.
4. The Personal Data Controller and the Personal Data Controller-cum-Processor are not required to comply with regulations specified in Clause 1 of this Article in the following cases:
a) The data subject knows and fully consents to the contents specified in Clauses 1 and 2 of this Article before permitting the Personal Data Controller and the Personal Data Controller-cum-Processor to collect his/her personal data in accordance with regulations in Article 9 of this Decree;
b) The personal data is processed by the competent state agency with a view to serving operations by such agency as prescribed by law.
Article 14. Personal data provision
1. The data subject has the right to request the Personal Data Controller or the Personal Data Controller-cum-Processor to provide him/her with his/her personal data.
2. The Personal Data Controller or the Personal Data Controller-cum-Processor:
a) is permitted to provide personal data of the data subject for other organizations and individuals when obtaining consent from the data subject, unless otherwise provided for by law;
b) provides the data subject’s personal data for other organizations and individuals on behalf of the data subject if approved and authorized by the data subject, unless otherwise provided for by law;
3. b) The Personal Data Controller or the Personal Data Controller-cum-Processor shall provide the personal data of the data subject within 72 hours after receiving his/her request, unless otherwise provided for by law.
4. The Personal Data Controller and the Personal Data Controller-cum-Processor shall not provide the personal data in the following cases:
a) It causes harm to the national security, social order and safety;
b) The provision of personal data may affect the safety, physical or mental health of other persons;
c) The data subject does not consent to provision of his/her personal data, and does not permit or authorize any Third Party to receive his/her personal data.
5. Methods of requesting for provision of personal data:
a) The data subject shall directly come or authorize another person to come to the office of the Personal Data Controller or the Personal Data Controller-cum-Processor to request for provision of his/her personal data.
The request-receiving person shall be responsible for instructing the requesting organization or individual to fill in a personal data request form.
If the requesting organization or individual is illiterate or disabled, and cannot write the request, the request-receiving person shall be responsible for assisting such organization or individual in filling in the personal data request form;
b) The request form for provision of personal data according to forms No. 01 and No. 02 specified in the Appendix of this Decree shall be sent electronically, by post or by fax to the Personal Data Controller, the Personal Data Controller-cum-Processor.
6. The personal data request form shall be made in Vietnamese language, including the following main contents:
a) Full name; place of residence, address; ID Card number or passport number of the requesting person; fax number, phone number, email address (if any);
b) Requested personal data, which specifies name of documents,
c) Methods of providing personal data;
d) Reasons and purposes for provision of personal data.
7. In case of request for provision of personal data specified in Clause 2 of this Article, a written consent of the relevant individual or organization shall be attached.
8. Receipt of the request for provision of personal data
a) The Personal Data Controller or the Personal Data Controller-cum-Processor shall be responsible for receiving requests for provision of personal data, and monitoring the process and the list of personal data provided upon request;
b) The Personal Data Controller and the Personal Data Controller-cum-Processor shall notify and instruct the requesting organization or individual to come to the competent authority or notify the inability to provide personal data in case the requested personal data falls outside of their jurisdiction.
9. Settlement of the request for provision of personal data
When receiving a valid request for provision of personal data, the Personal Data Controller and the Personal Data Controller-cum-Processor that are responsible for providing personal data shall notify the deadline, location, methods of providing personal data; actual costs for printing, copying, photocopying and sending information by post, by fax (if any) and payment method and term; and provide personal data according to procedures specified in this Article.
Article 15. Rectification of personal data
1. A data subject has the right to:
a) Access his/her personal data in order to view and rectify it after the Personal Data Controller and the Personal Data Controller-cum-Processor collects the data under his/her consent, unless otherwise provided for by law.
b) Request the Personal Data Controller and the Personal Data Controller-cum-Processor to rectify his/her personal data in case he/she cannot directly rectify his/her personal data due to technical reason or other reasons.
2. The Personal Data Controller and the Personal Data Controller-cum-Processor shall rectify personal data of the data subject after obtaining his/her consent when possible or according to regulations of specialized law. In case it is impossible to rectify personal data, the Personal Data Controller and the Personal Data Controller-cum-Processor shall notify the data subject after 72 hours from the time of receipt of his/her request.
3. The Personal Data Processor and the Third Party may rectify the personal data of the data subject after the Personal Data Controller and the Controller and the Personal Data Processor consent in writing and obtain consent from the data subject.
Article 16. Storage, deletion and destruction of personal data
1. The data subject has the right to request the Personal Data Controller and the Personal Data Controller-cum-Processor to delete his/her personal data in the following cases:
a) The data subject no longer finds the data necessary for the purposes for which it was collected under his/her consent and he/she accepts any damage that may be caused by the deletion;
b) The data subject withdraws consent;
c) The data subject objects to the processing of his/her personal data and the Personal Data Controller and the Personal Data Controller-cum-Processor do not have sound reasons for continuation in the processing;
d) The personal data is processed for purposes other than those that the data subject gives the consent or the processing of personal data is a violation against regulations of law;
dd) The personal data shall be deleted as prescribed by law.
2. The personal data shall not be deleted at the request of the data subject in the following cases:
a) The deletion of personal data is prohibited by law;
b) The personal data is processed by the competent state agency with a view to serving operations by such agency as prescribed by law.
c) The personal data has been disclosed as prescribed by law.
d) The personal data is processed with a view to serving law, scientific research and statistics as prescribed by law;
dd) The personal data shall not be deleted in the event of a state of emergency on national defense, security, social order and safety, major disasters, or dangerous epidemics; when there is a risk of threatening security and national defense but not to the extent of declaring a state of emergency; to prevent and combat riots and terrorism, to prevent and combat crimes and law violations according to regulations of law;
e) It is required to respond to emergent cases that threaten the life and health or the safety of the data subject or other persons.
3. In case of full division, partial division, merger, consolidation or dissolution of an enterprise, the personal data shall be transferred in accordance with law.
4. In case of full division, partial division or merger of an agency, organization or administrative unit, and reorganization or transformation of ownership of a state-owned enterprise, the personal data shall be transferred in accordance with law.
5. b) The deletion of personal data shall be implemented within 72 hours after receipt of the data subject’s request, and all personal data collected by the Personal Data Controller and the Personal Data Controller-cum-Processor, unless otherwise provided for by law.
6. The Personal Data Controller, the Personal Data Controller-cum-Processor, the Personal Data Processor and the Third Party shall store personal data in forms in conformity with their operations and adopt measures for protecting the personal data as prescribed by law.
7. The Personal Data Controller, the Personal Data Controller-cum-Processor, the Personal Data Processor and the Third Party shall permanently delete personal data in the following cases:
a) The personal data is processed for unintended purposes or they have accomplished their processing purposes under the consent of the data subject;
b) The storage of personal data is no longer necessary for their operations.
c) The Personal Data Controller, the Personal Data Controller-cum-Processor, the Personal Data Processor and the Third Party are dissolved or no longer operate or declare bankruptcy or terminate their business activities in accordance with the law.
Article 17. Personal data processing without the consent of data subject
1. The personal data shall be processed to protect the life and health of the data subject or others in an emergency situation. The Personal Data Controller, the Personal Data Controller-cum-Processor, the Personal Data Processor and the Third Party shall be responsible for proving such situation.
2. Disclosure of personal data in accordance with the law;
3. Processing of personal data by competent regulatory authorities in the event of a state of emergency regarding national defense, security, social order and safety, major disasters, or dangerous epidemics; when there is a threat to security and national defense but not to the extent of declaring a state of emergency; to prevent and fight riots and terrorism, crimes and law violations according to the provisions of law;
4. The personal data shall be processed to fulfill obligations under contracts the data subjects with relevant agencies, organizations and individuals as prescribed by law;
5. The personal data shall be processed to serve operations by regulatory authorities as prescribed by relevant laws.
Article 18. Processing of personal data obtained from audio and video recording activities in public places
Competent agencies and organizations may make audio and video recording and process personal data obtained from audio or video recording activities in public places in order to protect national security, social order and safety, legitimate rights and interests of organizations and individuals as prescribed by law without the consent of the data subjects. When making audio and video recording, competent agencies and organizations shall notify the data subjects that such data subjects are being recorded, unless otherwise provided for by law.
Article 19. Processing of personal data of individuals who are declared missing or deceased
1. The processing of personal data related to the personal data of an individual who is declared missing or deceased is subject to the consent of his/her spouse or adult children, or his/her parents if he/she has no spouse or child, except for cases specified in Articles 17 and 18 of this Decree.
2. In the absence of all the persons mentioned in Clause 1 of this Article, it is considered that there is no consent.
Article 20. Processing of children's personal data
1. The children’s personal data shall be processed in the manner that the rights and the best interests of the children are protected.
2. The processing of personal data of a child is subject to his/her consent if he/she is seven years old or above and the consent of his/her parents or guardian(s), except for cases specified in Article 17 of this Decree. The Personal Data Controller, Personal Data Processor, Personal Data Controller-cum-Processor and the Third Party shall verify the age of the child before processing his/her personal data.
3. The processing of the child’s personal data shall be stopped and the personal data shall be permanently deleted or destroyed in the following cases:
a) The personal data is processed for unintended purposes or the processing purposes have been accomplished under the consent of the data subject, unless otherwise provided for by law;
b) The child’s parent or guardian withdraws the consent to the processing of the child’s personal data, unless otherwise provided for by law;
c) There are sufficient grounds to prove that the processing of the child’s personal data affects legitimate rights and interests of the child at the request of the competent authority, unless otherwise provided for by law;
Article 21. Protection of personal data upon provision of marketing and advertising services
1. Organizations and individuals that provide marketing and advertising services may only use personal data of customers collected through their business activities to provide marketing and advertising services with the consent of the data subjects.
2. The processing of personal data of customers for provision of marketing and advertising services is subject to the consent of such customers and on the basis that they know contents, methods, forms and frequency of advertising services.
3. Organizations and individuals that provide marketing and advertising services shall prove that the use of personal data of customers meets regulations specified in Clauses 1 and 2 of this Article.
Article 22. Illegally collecting, transferring, purchasing and selling personal data
1. Organizations and individuals related to the processing of personal data shall adopt measures for protecting personal data in order to prevent illegal collection of personal data from their systems and service equipment.
2. Installation of software systems, implementation of technical measures or organization of collection, transfer, purchase or sale of personal data without the consent of the data subject is a violation of law.
Article 23. Notification of violations against regulations on protection of personal data
1. In case of detection of a violation against regulations on protection of personal data, the Personal Data Controller or the Personal Data Controller-cum-Processor shall notify the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) within 72 hours after such violation is committed according to Form No. 03 in the Appendix to this Decree. If the notification is given after 72 hours, the reason for the late notification shall be provided.
2. The Personal Data Processor shall notify the Personal Data Controller as quickly as possible after detecting the violation against regulations on protection of personal data.
3. Notification contents:
a) Description of the nature of the violation, including: time, place, violation, organization, individual, types of personal data and the amount of relevant data;
b) Contact details of the employee (s) assigned to protect the data or organizations or individuals that are responsible for protecting personal data;
c) Description of consequences and damage that may occur;
d) Description of measures for handling and minimizing the harm caused by the violation.
4. If it is impossible to notify all the information specified in Clause 3 of this Article, the notification may be given every time a piece of information is available.
5. The Personal Data Controller, the Personal Data Controller-cum-Processor shall make a written confirmation of the violation against regulations on protection of personal data, and cooperate with the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) in handling such violation.
6. Organizations and individuals shall notify the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) when detecting the following cases:
a) Violations are detected;
b) Personal data is processed for unintended purposes or against the original agreement between the data subject and the Personal Data Controller, the Personal Data Controller-cum-Processor or in contravention of regulations of law;
c) The data subject's rights are not protected or not properly exercised;
d) Other cases as prescribed by law
Section 3. ASSESSMENT OF IMPACT AND OUTBOUND TRANSFER OF PERSONAL DATA
Article 24. Assessment of impact of personal data processing
1. The Personal Data Controller and the Personal Data Controller-cum-Processor shall make and store their dossiers on assessment of impact of personal data processing from the time of starting to process personal data.
A dossier on assessment of impact of personal data processing includes:
a) Contact information and details of the Personal Data Controller and the Personal Data Controller-cum-Processor;
b) Name and contact details of the organization or employee assigned to protect personal data of the Personal Data Controller and the Personal Data Controller-cum-Processor;
c) Processing purposes;
d) Types of personal data to be processed;
dd) Data-receiving organization or individual, including the organization or individual that is located or lives outside the territory of the Socialist Republic of Vietnam;
e) Cases of outbound transfer of personal data;
g) Duration of processing of personal data; estimated duration of deletion or destruction of personal data (if any);
h) Description of measures for protecting personal data;
i) Assessment of impact of personal data processing; undesirable consequences and damage that may occur, measures for reducing or removing such consequences and damage.
2. The Personal Data Processor shall make and store the dossier on the assessment of impact of personal data processing in case the Personal Data Processor executes a contract with the Personal Data Controller. A dossier on assessment of impact of personal data processing of the Personal Data Processor includes:
a) Contact information and details of the Personal Data Processor;
b) Name and contact details of the organization or employee assigned to protect personal data of the Personal Data Processor;
c) Description of processing of personal data and types of personal data to be processed under a contract with the Personal Data Controller;
d) Duration of processing of personal data; estimated duration of deletion or destruction of personal data (if any);
dd) Cases of outbound transfer of personal data;
e) General description of measures for protecting personal data;
g) Undesirable consequences and damage that may occur, measures for reducing or removing such consequences and damage.
3. The dossier on assessment of impact of personal data processing of the Personal Data Controller, the Personal Data Controller-cum-Processor or the Personal Data Processor specified in Clause 1 and Clause 2 of this Article shall be made in writing that is valid.
4. The dossier on assessment of impact of personal data processing shall be always available in order to serve inspection and assessment by the Ministry of Public Security and the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) shall receive 01 authentic copy according to Form No. 04 in the Appendix of this Decree within 60 days from the date of processing of personal data.
5. The Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) shall make assessment and request the Personal Data Controller, the Personal Data Controller-cum-Processor and the Personal Data Processor to complete their dossiers on assessment in case the assessment is not complete and accurate according to regulations.
6. The Personal Data Controller, the Personal Data Controller-cum-Processor and the Personal Data Processor shall update and amend their dossiers on assessment of impact of personal data processing when there is any change of contents submitted to the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) according to Form No. 05 in the Appendix of this Decree.
Article 25. Outbound transfer of personal data
1. A Vietnamese citizen’s personal data shall be transferred abroad in case where the Sender makes a dossier on assessment of impact of outbound transfer of personal data and carries out the procedures specified in Clauses 3, 4 and 5 of this Article. The senders include the Personal Data Controller, the Personal Data Controller-cum-Processor, the Personal Data Processor and the Third Party.
2. A dossier on assessment of impact of outbound transfer of personal data includes:
a) Contact information and details of the Sender and the Receiver;
b) Full name and contact details of an organization or individual under the Sender involved in sending and receiving a Vietnamese citizen’s personal data;
c) Description and explanation about objectives of the processing of a Vietnamese Citizen’s personal data after the personal data is transferred abroad;
d) Description and clarification of type of personal data to be transferred abroad;
dd) Description and explanation about the observance of regulations on protection of personal data in this Decree, detailed measures for protecting personal data;
e) Assessment of impact of personal data processing; undesirable consequences and damage that may occur, measures for reducing or removing such consequences and damage.
g) Consent of the data subject according to regulations in Article 11 of this Decree when he/she is informed of the mechanism for feedback and complaint in case of arising problems or requests;
h) Document that shows obligations and responsibilities between the Senders and the Receivers for processing of a Vietnamese Citizen’s personal data.
3. A dossier on assessment of impact of outbound transfer of personal data shall be always available in order to serve inspection and assessment by the Ministry of Public Security.
The Sender shall send 01 authentic copy of the assessment to the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) according to Form No. 06 in the Appendix of this Decree within 60 days from the date of processing of personal data.
4. The Sender shall notify the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) of information about the data transfer and contact details of the organization or individual in charge of such transfer in writing after the personal data is successfully transferred.
5. The Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) shall make assessment and request the Sender to complete the dossier on assessment of impact of outbound transfer of personal data in case the assessment is not complete and accurate according to regulations.
6. The Sender shall update and amend the dossier on assessment of impact of outbound transfer of personal data when there is any change of contents submitted to the Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) according to Form No. 05 in the Appendix of this Decree. The duration for completion of the dossier on assessment for the Sender is 10 days from the date of request.
7. According to specific situation, the Ministry of Public Security shall decide to inspect the outbound transfer of personal data once a year, unless it detects violations against the law on protection of personal data in this Decree or a Vietnamese citizen's personal data is leaked or lost.
8. The Ministry of Public Security shall decide to request the Sender to stop transferring personal data abroad in the following cases:
a) It is detected that the transferred personal data is used for activities that violate the interests and national security of the Socialist Republic of Vietnam.
b) The Sender does not comply with regulations in Clause 5 and Clause 6 of this Article;
c) A Vietnamese citizen's personal data is leaked or lost.
Section 4. MEASURES AND CONDITIONS FOR PROTECTION OF PERSONAL DATA
Article 26. Personal data protection measures
1. Measures for protecting personal data shall be adopted from the beginning of and throughout the processing of personal data.
2. Measures for protecting personal data include:
a) Management measure adopted by an organization or individual related to processing of personal data;
b) Technical measure adopted by an organization or individual related to processing of personal data;
c) Measure adopted by a competent authority according to regulations in this Decree and relevant law;
d) Investigation and procedure measures adopted by a competent authority;
dd) Other measures as prescribed by law.
Article 27. General personal data protection
1. Adopt measures mentioned in Clause 2 Article 26 of this Decree.
2. Formulate and promulgate regulations on protection of personal data, which specify tasks to be performed in accordance with this Decree.
3. Encourage application of standards of personal data protection in conformity with fields, industries and activities related to the processing of personal data.
4. Inspect cybersecurity for systems, means and equipment for processing of personal data before processing, permanent deletion or destruction of devices containing personal data.
Article 28. Sensitive personal data protection
1. Adopt measures mentioned in Clause 2 Article 26 and Article 27 of this Decree.
2. Appoint a department with the function of protecting personal data and personnel in charge of protection of personal data, and exchange information about the department and individual in charge of protection of personal data with the personal data protection authority. Exchange information about the individual in charge of protection in case the Personal Data Controller, the Personal Data Controller-cum-Processor, the Personal Data Processor or the Third Party is an individual.
3. Notify the data subject of the processing of his/her sensitive personal data, except for cases specified in Clause 4, Article 13, Article 17 and Article 18 of this Decree.
Article 29. Personal data protection authority and National Portal on personal data protection.
1. The personal data protection authority is the Department of Cybersecurity and Hi-tech Crime Prevention under Ministry of Public Security that assists the Ministry of Public Security in performing state management of personal data protection.
2. National Portal on personal data protection:
a) Provide information on guidelines and policies of the Communist Party and the State's laws on protection of personal data;
b) Disseminate policies and laws on protection of personal data;
c) Update information and situation of protection of personal data;
d) Receive electronic information, documents and data about protection of personal data;
dd) Provide information on results of assessment of protection of personal data by relevant agencies, organizations and individuals;
e) Receive notification of violations against regulations on protection of personal data;
g) Issue warning and cooperate in warning about risks and acts that infringe personal data as prescribed by law.
h) Handle violations against regulations on protection of personal data as prescribed by law;
i) Perform other activities according to regulations of law on protection of personal data.
Article 30. Conditions for assurance about protection of personal data
1. Personal data protecting forces include:
a) Personal data protecting forces that are allocated in the personal data protection authority.
b) Departments and personnel in charge of protection of personal data that are appointed in agencies, organizations and enterprise in order to comply with regulations on protection of personal data;
c) Organizations and individuals that are encouraged to protect personal data;
d) The Ministry of Public Security shall develop specific programs and plans to develop human resources for protection of personal data.
2. Agencies, organizations and individuals shall be responsible for disseminating knowledge and skills in order to raise awareness of protection of personal data for agencies, organizations and individuals.
3. Facilities and conditions for operation by the personal data protection authority shall be ensured.
Article 31. Funding for protection of personal data
1. The financial sources for protection of personal data include state budget; donation from domestic and foreign agencies, organizations and individuals; revenue from provision of personal data protection services; international aid and other legal sources of revenue.
2. The funding for protection of personal data of state agencies shall be provided by the state budget and included in annual state budget estimates. Management and use of the funding from the state budget shall comply with the law on state budget.
3. The funding for protection of personal data of organizations and enterprises shall be allocated by such organizations and enterprises according to regulations.
RESPONSIBILITIES OF AGENCIES, ORGANIZATIONS AND INDIVIDUALS
Article 32. Responsibility of the Ministry of Public Security
1. Assist the Government in ensuring uniform state management of personal data protection.
2. Provide guidance on and give protection of personal data and rights of the data subject from violations against law on protection of personal data, propose promulgation of standards of personal data protection and production of applicable recommendations.
3. Build, manage and operate the National Portal on personal data protection.
4. Assess the results of personal data protection by relevant agencies, organizations and individuals.
5. Receive dossiers, forms and information on protection of personal data according to regulations of this Decree.
6. Adopt measures and conduct research to innovate protection of personal data, promote international cooperation in protection of personal data.
7. Conduct inspection, and handle complaints, denunciations and violations against regulations on protection of personal data as prescribed by law.
Article 33. Responsibility of the Ministry of Information and Communications
1. Direct media agencies, press agencies, organizations and enterprises under its management to protect personal data according to regulations of this Decree.
2. Develop, provide guidance and implement measures for protecting personal data, ensure cyberinformation security for personal data in information and communication activities according to assigned tasks and functions.
3. Cooperate with the Ministry of Public Security in inspecting and handling violations against law on protection of personal data.
Article 34. Responsibility of the Ministry of National Defense
Manage, inspect, supervise, handle violations and apply regulations on protection of personal data to agencies, organizations and individuals under its management according to regulations and assigned tasks and functions.
Article 35. Responsibility of the Ministry of Science and Technology
1. Cooperate with the Ministry of Public Security in developing the personal data protection standards and producing recommendations for application of such standards.
2. Research and discuss measures for protecting personal data to keep up with the development of science and technology with the Ministry of Public Security
Article 36. Responsibilities of ministries, ministerial-level agencies and Government-attached agencies
1. Perform state management of personal data protection for sectors and fields under their management in accordance with the law on protection of personal data.
2. Develop and implement contents and tasks in protection of personal data in this Decree.
3. Amend regulations on protection of personal data in development and implementation of tasks by ministries and central authorities.
4. Allocate funding for protection of personal data according to current state budget hierarchy.
5. Issue list of open data in accordance with regulations on protection of personal data.
Article 37. Responsibilities of the People's Committees of provinces and central-affiliated cities (herein referred to as "the People's Committees of provinces ")
1. Perform state management of personal data protection for sectors and fields under their management in accordance with the law on protection of personal data.
2. Impose regulations on protection of personal data in this Decree.
3. Allocate funding for protection of personal data according to current state budget hierarchy.
4. Issue list of open data in accordance with regulations on protection of personal data.
Article 38. Responsibility of Personal Data Controllers
1. Implement organizational and technical measures and appropriate safety and security measures to prove that the personal data is processed in accordance with regulations of the law on protection of personal data, review and update these measures when necessary.
2. Record and store log of the processing of personal data.
3. Notify violations against regulations on protection of personal data according to regulations in Article 23 of this Decree.
4. Select an appropriate Personal Data Processor with specific tasks and only work with the Personal Data Processor that has appropriate measures for protecting personal data.
5. Protect the rights of data subjects according to regulations in Article 9 of this Decree.
6. Be responsible to the data subject for damage caused by the processing of personal data.
7. Cooperate with the Ministry of Public Security and competent authorities in protecting personal data and providing information serving investigation and handling of violations against the law on protection of personal data.
Article 39. Responsibility of Personal Data Processors
1. Only receive personal data after having a contract or agreement on the processing of personal data with the Personal Data Controller.
2. Process personal data under the contract or agreement concluded with the Personal Data Controller.
3. Fully implement measures for protecting personal data specified in this Decree and other relevant legal documents.
4. Be responsible to the data subject for damage caused by the processing of personal data.
5. Delete or return all personal data to the Personal Data Controller after completing the processing.
6. Cooperate with the Ministry of Public Security and competent authorities in protecting personal data and providing information serving investigation and handling of violations against the law on protection of personal data.
Article 40. Responsibility of Personal Data Controller-cum-Processors
Comply with all regulations on responsibilities of the Personal Data Controller and the Personal Data Processor.
Article 41. Responsibility of the Third Party
Comply with all regulations on responsibilities for processing personal data according to regulations in this Decree.
Article 42. Responsibilities of relevant organizations and individuals
1. Adopt measures for protecting their personal data, take responsibility for the accuracy of the personal data provided.
2. Comply with regulations on protection of personal data in this Decree.
3. Promptly notify the Ministry of Public Security of violations related to protection of personal data.
4. Cooperate with the Ministry of Public Security in handling violations related to protection of personal data.
IMPLEMENTATION PROVISION
1. This Decree comes into effect from July 01, 2023.
2. Micro-enterprises, small enterprises, medium-sized enterprises, startup companies have the right to opt for exemption from regulations on appointment of individuals and departments to protection of personal data for the first 2 years from the date of establishment.
3. With regard to micro-enterprises, small enterprises, medium-sized enterprises, startup companies that directly engage in the processing of personal data, regulations in Clause 2 of this Article shall not be applied.
Article 44. Responsibility for implementation
1. The Minister of Public Security shall urge, inspect and provide guidance on the implementation of this Decree.
2. Ministers, heads of ministerial agencies, heads of Governmental-attached agencies and the Presidents of the People’s Committees of provinces and central-affiliated cities shall be responsible for the implementation of this Decree./.
|
|
ON BEHALF OF THE GOVERNMENT |
APPENDIX
(Issued together with the Government’s Decree No. 13/2023/ND-CP dated April 17, 2023)
|
Form No.01 |
Personal data request form (for individuals) |
|
Form No.02 |
Personal data request form (for organizations and enterprises) |
|
Form No.03 |
Notification of violations against regulations on protection of personal data |
|
Form No.04 |
Notification of submission of dossier on assessment of impact of personal data processing |
|
Form No.05 |
Notification of change in contents of dossier |
|
Form No.06 |
Dossier on assessment of impact of outbound transfer of personal data |
Form No. 01
THE SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------
……, date….month….year….
PERSONAL DATA REQUEST FORM
(for individuals)
To: …………………………………….
1. Full name of requesting individual: ……………………………………………..……………
………………………………………………….……………………………………………………
2. Representative/Guardian 1:…………………………………………………………………….
2. ID Card/passport number …………………………………………………..
Date of issue …. /…… /….. Place of issue …………………………………………………..
4. Address 2: ……………………………………………………………………………………..
5. Phone number 3………………………….; Fax…………………; E-mail: …………………
6. Requested personal data 4: ………………………………………………………………….
7. Purposes: ………………………………………………………………………..
8. Request for personal data made for:
|
a) For the first time |
b) Other: For the …. time |
9. Number of request forms 5:
10. Methods of receiving personal data:
□ In person
□ By post (receiving address): ……………………………………………………………
□ By fax (fax number): ……………………………………………………………………………
□ By email (email address): ……………………………………………………………
□ Others: ………………………………………………………………………………..
11. Attached documents (if available): ....
|
|
REQUESTING INDIVIDUAL |
_____________________
1 Representative/Guardian 1 of the requesting individual who is a minor, has restricted capacity for civil acts, is incapable of civil acts or is a person with limited cognition or behavior control…according to regulations in Civil Code
2 Address of the representative/guardian.
3 Phone number/fax/email of the representative/guardian.
4 Name of the data owner and relevant information to be provided.
5 Printed, copied or photocopied request forms or data file.
Form No. 02
THE SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------
….. ……, date….month….year….
PERSONAL DATA REQUEST FORM
(for organizations and enterprises)
To: …………………………………….
1. Name of organization/enterprise: ……………………………………………………………
………………………………………………………………………………………………………
2. Representative 1 …………………………………………………………………..
3. ID Card/passport number …………………………………………………..
Date of issue …. /…… /….. Place of issue …………………………………………………..
4. Address of headquarter of the organization/enterprise: …………………………………
………………………………………………………………………………………………………
5. Phone number 2………………………….; Fax…………………; E-mail: ………………….
6. Requested personal data: ……………………………………………………………….
7. Purposes: ………………………………………………………………………..
8. Request for personal data made for:
|
a) For the first time |
b) Other: For the…time |
9. Number of request forms 3: ………………………………………………………………….
10. Methods of receiving documents:
□ In person
□ By post (receiving address): ……………………………………………………………
□ By fax (fax number): ……………………………………………………………………………
□ By email (email address): ……………………………………………………………
□ Others: ………………………………………………………………………………..
11. Attached documents (if available): ....
|
|
REPRESENTATIVE 4 |
__________________________
1 Representative of the organization/enterprise according to regulations in Civil Code.
2 Phone number/fax/email of the representative.
3 Printed, copied or photocopied request forms or data file.
4 Representative of the organization or enterprise (signature and full name) and seal of the organization/enterprise.
Form No. 03
|
NAME OF ORGANIZATION |
THE SOCIALIST REPUBLIC OF VIETNAM |
|
No: |
…., date….month….year…. |
NOTIFICATION
VIOLATIONS AGAINST REGULATIONS ON PROTECTION OF PERSONAL DATA
To: the Ministry of Public Security
(Department of CyberSecurity and Hi-tech Crime Prevention, the Ministry of Public Security)
Complying with regulations on protection of personal data , ……………………… 1 submits a dossier on assessment of impact of personal data processing to the Ministry of Public Security. To be specific:
1. Information on an organization/enterprise
- Name of the organization/enterprise: …………………………………………………………
- Address of the headquarter:……………………………………………………………………
- Address of the transaction office:………………………………………………………………
- Establishment Decision/Enterprise Registration Certificate/Business Registration Certificate/Investment Certificate No:….. issuing authority ........date of issue......place of issue….
- Phone number:…………………………….. Website …………………………………………
- Personnel in charge of protection of personal data:
Full name: …………………………………………………………………………………………
Title: ……………………………………………………………………………………………….
Phone number (fixed and mobile): ……………………………………………………………
Email: ………………………………………………………………………………………………
2. Violations against regulations on protection of personal data
- Time: ………………………………………………………………………………………………
- Location: ………………………………………………………………………………………….
- Violation(s): ……………………………………………………………………………………….
- Organization, individual, types of personal data and the quantity of relevant data:
- Personnel in charge of protection of personal data: …………………………………………
Full name: ………………………………………………………………………………………….
Title: …………………………………………………………………………………………………
Phone number (fixed and mobile): ………………………………………………………………
Email: ………………………………………………………………………………………………
- Consequences: ………………………………………………………………………………….
- Measures to be taken: ………………………………………………………………………….
3. Attached documents
1. ……………………………………………………………………………………………………
2. ……………………………………………………………………………………………………
4. Commitment
(Name of agency, organization or enterprise) commits to assume legal responsibility for the accuracy and legitimacy of provided information and attached documents.
|
|
ON BEHALF OF ORGANIZATION OR ENTERPRISE |
__________________________
1 Name of organization or enterprise
Form No. 04
|
NAME OF ORGANIZATION |
THE SOCIALIST REPUBLIC OF VIETNAM |
|
No: |
…., date….month….year…. |
NOTIFICATION
SUBMISSION OF DOSSIER ON ASSESSMENT OF IMPACT OF PERSONAL DATA PROCESSING
To: the Ministry of Public Security
(Department of CyberSecurity and Hi-tech Crime Prevention, the Ministry of Public Security)
Complying with regulations on protection of personal data, ……………………… 1 submits a dossier on assessment of impact of personal data processing to the Ministry of Public Security. To be specific:
1. Information on organization or enterprise
- Name of organization or enterprise: ……………………………………………………………
- Address of the headquarter:……………………………………………………………………..
- Address of the transaction office:……………………………………………………………….
- Establishment Decision/Enterprise Registration Certificate/Business Registration Certificate/Investment Certificate No:….. issuing authority ........date of issue......place of issue….
- Phone number:…………………………….. Website ………………………………………….
- Personnel in charge of protection of personal data: ………………………………………….
Full name: …………………………………………………………………………………………..
Title: ………………………………………………………………………………………………….
Phone number (fixed and mobile): ……………………………………………………………….
Email: …………………………………………………………………………………………………
2. Dossier on assessment of impact of personal data processing
1. ………………………………………………………………………………………………………
2. ………………………………………………………………………………………………………
3. Commitment
(Name of agency, organization or enterprise) commits to assume legal responsibility for the accuracy and legitimacy of the dossier on assessment of impact of personal data processing and attached documents.
|
|
ON BEHALF OF ORGANIZATION OR ENTERPRISE |
__________________________
1 Name of organization or enterprise
Form No. 05
|
NAME OF ORGANIZATION |
THE SOCIALIST REPUBLIC OF VIETNAM |
|
No: |
…., date….month….year…. |
NOTIFICATION OF
CHANGE IN CONTENTS OF DOSSIER 1
To: the Ministry of Public Security
(Via Department of CyberSecurity and Hi-tech Crime Prevention)
Complying with regulations on protection of personal data, ……………………2 submits a dossier on assessment of impact of personal data processing to the Ministry of Public Security
1. Information of organization or enterprise
- Name of organization or enterprise: ……………………………………………………………
- Address of the headquarter:……………………………………………………………………..
- Address of the transaction office:……………………………………………………………….
- Establishment Decision/Enterprise Registration Certificate/Business Registration Certificate/Investment Certificate No:….. issuing authority ........date of issue......place of issue….
- Phone number:…………………………….. Website ……………………………………………
- Personnel in charge of protection of personal data: ……………………………………………
Full name: …………………………………………………………………………………………….
Title: ……………………………………………………………………………………………….
Phone number (fixed and mobile): ……………………………………………………………
Email: …………………………………………………………………………………………………
2. Change in contents of the dossier
- Changed contents: …………………………………………………………………………………
- Reasons: …………………………………………………………………………………….
3. Attached documents
1. ………………………………………………………………………………………………………
2. ………………………………………………………………………………………………………
4. Commitment
(Name of agency, organization or enterprise) commits to assume legal responsibility for the accuracy and legitimacy of changed contents and attached documents.
|
|
ON BEHALF OF ORGANIZATION OR ENTERPRISE |
__________________________
1 Name of the dossier: Dossier on assessment of impact of personal data processing or assessment of impact of outbound transfer of personal data.
2 Name of organization or enterprise.
Form No. 06
|
NAME OF ORGANIZATION |
THE SOCIALIST REPUBLIC OF VIETNAM |
|
No: |
…., date….month….year…. |
DOSSIER ON ASSESSMENT OF IMPACT OF OUTBOUND TRANSFER OF PERSONAL DATA
To: the Ministry of Public Security
(Department of CyberSecurity and Hi-tech Crime Prevention, the Ministry of Public Security)
Complying with regulations on protection of personal data, ……………………… 1 submits a dossier on assessment of impact of outbound transfer of personal data to the Ministry of Public Security. To be specific:
1. Information on organization or enterprise
- Name of organization or enterprise: ………………………………………………………….
- Address of the headquarter:……………………………………………………………………
- Address of the transaction office:………………………………………………………………
- Establishment Decision/Enterprise Registration Certificate/Business Registration Certificate/Investment Certificate No:….. issuing authority ........date of issue......place of issue….
- Phone number:………………………… Website ………………………………………………
- Personnel in charge of protection of personal data: ………………………………………….
Full name: …………………………………………………………………………………………..
Title: ……………………………………………………………………………………………….
Phone number (fixed and mobile): ……………………………………………………………
Email: ………………………………………………………………………………………………
2. Dossier on assessment of impact of outbound transfer of personal data
1. ……………………………………………………………………………………………….
2. ………………………………………………………………………………………………..
3. Commitment
(Name of agency, organization or enterprise) commits to assume legal responsibility for the accuracy and legitimacy of the dossier on assessment of impact of outbound transfer of personal data and attached documents.
|
|
ON BEHALF OF ORGANIZATION OR ENTERPRISE |
__________________________
1 Name of organization or enterprise
Tình trạng hiệu lực: Còn hiệu lực