Chương III Nghị định 13/2023/NĐ-CP: Trách nhiệm của cơ quan, tổ chức, cá nhân
Số hiệu: | 13/2023/NĐ-CP | Loại văn bản: | Nghị định |
Nơi ban hành: | Chính phủ | Người ký: | Trần Lưu Quang |
Ngày ban hành: | 17/04/2023 | Ngày hiệu lực: | 01/07/2023 |
Ngày công báo: | 30/04/2023 | Số công báo: | Từ số 685 đến số 686 |
Lĩnh vực: | Công nghệ thông tin, Quyền dân sự | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Ngày 17/04/2023, Chính phủ ban hành Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân trong đó quy định về quyền của chủ thể dữ liệu trong hoạt động bảo vệ dữ liệu cá nhân.
Quyền của chủ thể dữ liệu trong hoạt động bảo vệ dữ liệu cá nhân
Theo đó, quyền của chủ thể dữ liệu trong hoạt động bảo vệ dữ liệu cá nhân bao gồm:
- Thứ nhất, quyền được biết:
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ hai, quyền đồng ý:
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP .
- Thứ ba, quyền truy cập:
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ tư, quyền rút lại sự đồng ý:
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
Thứ năm, quyền xóa dữ liệu:
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ sáu, quyền hạn chế xử lý dữ liệu:
+ Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+ Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
- Thứ bảy, quyền cung cấp dữ liệu:
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Thứ tám, quyền phản đối xử lý dữ liệu:
+ Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác.
+ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
- Thứ chín, quyền khiếu nại, tố cáo, khởi kiện:
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
- Tiếp theo, quyền yêu cầu bồi thường thiệt hại:
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
- Cuối cùng, quyền tự bảo vệ:
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định 13/2023/NĐ-CP , hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự 2015.
Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 01/07/2023.
Văn bản tiếng việt
Văn bản tiếng anh
1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
3. Xây dựng, quản lý, vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao.
3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân.
2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này.
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
RESPONSIBILITIES OF AGENCIES, ORGANIZATIONS AND INDIVIDUALS
Article 32. Responsibility of the Ministry of Public Security
1. Assist the Government in ensuring uniform state management of personal data protection.
2. Provide guidance on and give protection of personal data and rights of the data subject from violations against law on protection of personal data, propose promulgation of standards of personal data protection and production of applicable recommendations.
3. Build, manage and operate the National Portal on personal data protection.
4. Assess the results of personal data protection by relevant agencies, organizations and individuals.
5. Receive dossiers, forms and information on protection of personal data according to regulations of this Decree.
6. Adopt measures and conduct research to innovate protection of personal data, promote international cooperation in protection of personal data.
7. Conduct inspection, and handle complaints, denunciations and violations against regulations on protection of personal data as prescribed by law.
Article 33. Responsibility of the Ministry of Information and Communications
1. Direct media agencies, press agencies, organizations and enterprises under its management to protect personal data according to regulations of this Decree.
2. Develop, provide guidance and implement measures for protecting personal data, ensure cyberinformation security for personal data in information and communication activities according to assigned tasks and functions.
3. Cooperate with the Ministry of Public Security in inspecting and handling violations against law on protection of personal data.
Article 34. Responsibility of the Ministry of National Defense
Manage, inspect, supervise, handle violations and apply regulations on protection of personal data to agencies, organizations and individuals under its management according to regulations and assigned tasks and functions.
Article 35. Responsibility of the Ministry of Science and Technology
1. Cooperate with the Ministry of Public Security in developing the personal data protection standards and producing recommendations for application of such standards.
2. Research and discuss measures for protecting personal data to keep up with the development of science and technology with the Ministry of Public Security
Article 36. Responsibilities of ministries, ministerial-level agencies and Government-attached agencies
1. Perform state management of personal data protection for sectors and fields under their management in accordance with the law on protection of personal data.
2. Develop and implement contents and tasks in protection of personal data in this Decree.
3. Amend regulations on protection of personal data in development and implementation of tasks by ministries and central authorities.
4. Allocate funding for protection of personal data according to current state budget hierarchy.
5. Issue list of open data in accordance with regulations on protection of personal data.
Article 37. Responsibilities of the People's Committees of provinces and central-affiliated cities (herein referred to as "the People's Committees of provinces ")
1. Perform state management of personal data protection for sectors and fields under their management in accordance with the law on protection of personal data.
2. Impose regulations on protection of personal data in this Decree.
3. Allocate funding for protection of personal data according to current state budget hierarchy.
4. Issue list of open data in accordance with regulations on protection of personal data.
Article 38. Responsibility of Personal Data Controllers
1. Implement organizational and technical measures and appropriate safety and security measures to prove that the personal data is processed in accordance with regulations of the law on protection of personal data, review and update these measures when necessary.
2. Record and store log of the processing of personal data.
3. Notify violations against regulations on protection of personal data according to regulations in Article 23 of this Decree.
4. Select an appropriate Personal Data Processor with specific tasks and only work with the Personal Data Processor that has appropriate measures for protecting personal data.
5. Protect the rights of data subjects according to regulations in Article 9 of this Decree.
6. Be responsible to the data subject for damage caused by the processing of personal data.
7. Cooperate with the Ministry of Public Security and competent authorities in protecting personal data and providing information serving investigation and handling of violations against the law on protection of personal data.
Article 39. Responsibility of Personal Data Processors
1. Only receive personal data after having a contract or agreement on the processing of personal data with the Personal Data Controller.
2. Process personal data under the contract or agreement concluded with the Personal Data Controller.
3. Fully implement measures for protecting personal data specified in this Decree and other relevant legal documents.
4. Be responsible to the data subject for damage caused by the processing of personal data.
5. Delete or return all personal data to the Personal Data Controller after completing the processing.
6. Cooperate with the Ministry of Public Security and competent authorities in protecting personal data and providing information serving investigation and handling of violations against the law on protection of personal data.
Article 40. Responsibility of Personal Data Controller-cum-Processors
Comply with all regulations on responsibilities of the Personal Data Controller and the Personal Data Processor.
Article 41. Responsibility of the Third Party
Comply with all regulations on responsibilities for processing personal data according to regulations in this Decree.
Article 42. Responsibilities of relevant organizations and individuals
1. Adopt measures for protecting their personal data, take responsibility for the accuracy of the personal data provided.
2. Comply with regulations on protection of personal data in this Decree.
3. Promptly notify the Ministry of Public Security of violations related to protection of personal data.
4. Cooperate with the Ministry of Public Security in handling violations related to protection of personal data.