Dự thảo Nghị định quy định về dữ liệu cá nhân lần 2

NGHỊ ĐỊNH

Quy định về bảo vệ dữ liệu cá nhân

---------------

Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015;

Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Luật Xử lý vi phạm hành chính ngày 13 tháng 11 năm 2020;

Theo đề nghị của Bộ trưởng Bộ Công an,

Chính phủ ban hành Nghị định quy định về bảo vệ dữ liệu cá nhân,

Chương I

NHỮNG QUY ĐỊNH CHUNG

              Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Nghị định này quy định về dữ liệu cá nhân, xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân, Ủy ban bảo vệ dữ liệu cá nhân, xử lý vi phạm về dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

2. Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân có liên quan tới dữ liệu cá nhân.

             Điều 2. Giải thích từ ngữ

Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:

1. Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể.

2. Dữ liệu cá nhân cơ bản, gồm:

a) Họ, chữ đệm và tên khai sinh, bí danh (nếu có);

b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

c) Nhóm máu, giới tính;

d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử;

đ) Trình độ học vấn;

e) Dân tộc;

g) Quốc tịch;

h) Số điện thoại;

i) Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội;

k) Tình trạng hôn nhân;

l) Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.

3. Dữ liệu cá nhân nhạy cảm, gồm:

a) Dữ liệu cá nhân về quan điểm ​​chính trị, tôn giáo;

b) Dữ liệu cá nhân về tình trạng sức khỏe là thông tin liên quan đến trạng thái sức khỏe thể chất hoặc tinh thần của chủ thể dữ liệu được thu thập, xác định trong quá trình đăng ký hoặc cung cấp dịch vụ y tế;

c) Dữ liệu cá nhân về di truyền là thông tin liên quan đến các đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

d) Dữ liệu cá nhân về sinh trắc học là thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân;

đ) Dữ liệu cá nhân về tình trạng giới tính là thông tin về người được xác định có giới tính nam, nữ, người kết hợp giữa nữ và nam, không phải nữ hoàn toàn hoặc nam toàn toàn, không phải nữ cũng không phải nam hoặc là tình trạng của chủ thể dữ liệu có ý thức về giới tính không phù hợp với giới tính được xác định khi sinh;

e) Dữ liệu cá nhân về đời sống, xu hướng tình dục;

g) Dữ liệu cá nhân về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h) Dữ liệu cá nhân về tài chính là thông tin được sử dụng để xác định tài khoản, thẻ, công cụ thanh toán do tổ chức tài chính cung cấp cho chủ thể dữ liệu hoặc thông tin về mối quan hệ giữa tổ chức tài chính, dữ liệu tiền gốc với chủ thể dữ liệu, bao gồm cả hồ sơ, tình trạng tài chính, lịch sử tín dụng, mức thu nhập;

i) Dữ liệu cá nhân về vị trí là thông tin về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại;

k) Dữ liệu cá nhân về các mối quan hệ xã hội;

l) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

4. Bảo vệ dữ liệu cá nhân là phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm quy định của pháp luật về dữ liệu cá nhân.

5. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.

6. Xử lý dữ liệu cá nhân là một hoặc nhiều hành động tác động tới dữ liệu cá nhân, bao gồm thu thập, ghi, phân tích, lưu trữ, thay đổi, tiết lộ, cấp quyền truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

7. Quyền bảo vệ dữ liệu cá nhân là quyền của cá nhân được thực hiện hoặc yêu cầu các cơ quan, tổ chức, cá nhân tôn trọng, bảo vệ và thực hiện các biện pháp cụ thể để bảo vệ dữ liệu cá nhân của mình.

8. Bên xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân trong và ngoài nước thực hiện hoạt động xử lý dữ liệu cá nhân.

9. Bên thứ ba là cơ quan, tổ chức, cá nhân trong và ngoài nước được tiếp nhận dữ liệu cá nhân, có hoạt động xử lý dữ liệu cá nhân nhưng không phải là Bên xử lý dữ liệu cá nhân, chủ thể dữ liệu.

10. Xử lý dữ liệu cá nhân tự động là việc sử dụng hệ thống máy tính để đưa ra quyết định xử lý dữ liệu cá nhân theo thuật toán.

11. Chuyển dữ liệu qua biên giới là hoạt động sử dụng không gian mạng hoặc các thiết bị, phương tiện điện tử chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam.

12. Dữ liệu gốc là bản dữ liệu cá nhân đầu tiên mà Bên xử lý dữ liệu cá nhân xử lý, chưa chuyển giao cho Bên thứ ba.

13. Khử nhận dạng dữ liệu cá nhân là quá trình ẩn danh hoặc xóa các nội dung định danh hoặc thay thế chúng bằng tên hoặc mã giả tưởng khác để tạo ra dữ liệu mới không thể xác định một cá nhân cụ thể.

14. Ẩn danh dữ liệu cá nhân là quá trình chuyển đổi dữ liệu cá nhân thành một dạng dữ liệu mới và không thể đảo ngược thành dữ liệu cá nhân.

15. Vi phạm quy định về bảo vệ dữ liệu cá nhân là bất kỳ hành động nào liên quan tới tới việc xử lý dữ liệu cá nhân trái pháp luật.

Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân

1. Nguyên tắc hợp pháp: Dữ liệu cá nhân chỉ được thu thập trong trường hợp cần thiết theo quy định của pháp luật.

2. Nguyên tắc mục đích: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã đăng ký, tuyên bố về xử lý thông tin cá nhân.

3. Nguyên tắc tối giản: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định.

4. Nguyên tắc sử dụng hạn chế: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền theo quy định của pháp luật.

5. Nguyên tắc về chất lượng dữ liệu: Dữ liệu cá nhân phải được cập nhật, đầy đủ để bảo đảm mục đích xử lý dữ liệu.

6. Nguyên tắc an ninh: Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ trong quá trình xử lý dữ liệu cá nhân.

7. Nguyên tắc cá nhân: Chủ thể dữ liệu được biết và nhận thông báo về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình.

8. Nguyên tắc bảo mật: Dữ liệu cá nhân phải được bảo mật trong quá trình xử lý dữ liệu.

Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân  

1. Cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật.

2. Việc xử lý vi phạm quy định bảo vệ dữ liệu cá nhân được áp dụng đối với toàn bộ các tổ chức, doanh nghiệp, cá nhân trong và ngoài nước có hoạt động kinh doanh tại Việt Nam.

3. Ngoài mức phạt được quy định, trường hợp Bên xử lý dữ liệu cá nhân vi phạm nhiều lần, với hậu quả lớn có thể bị phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam.

Chương II

XỬ LÝ DỮ LIỆU CÁ NHÂN

             Điều 5. Quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân

1. Đồng ý hoặc không đồng ý cho Bên xử lý dữ liệu cá nhân, Bên thứ ba xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

2. Nhận thông báo của Bên xử lý dữ liệu cá nhân tại thời điểm xử lý hoặc ngay khi có thể thực hiện được.

3. Yêu cầu Bên xử lý dữ liệu cá nhân chỉnh sửa, xem, cung cấp bản sao dữ liệu cá nhân của mình.

4. Yêu cầu Bên xử lý dữ liệu cá nhân chấm dứt việc xử lý dữ liệu cá nhân, hạn chế quyền tiếp cận dữ liệu cá nhân, chấm dứt việc tiết lộ hoặc cho phép truy cập vào dữ liệu cá nhân, xóa hoặc đóng dữ liệu cá nhân đã thu thập, trừ trường hợp được pháp luật quy định.

5. Khiếu nại theo quy định của pháp luật hoặc khiếu nại với Ủy ban bảo vệ dữ liệu cá nhân trong trường hợp:

a) Dữ liệu cá nhân của mình bị xâm phạm;

b) Dữ liệu cá nhân của mình bị xử lý sai mục đích, không đúng thỏa thuận hoặc quy định của pháp luật;

c) Quyền hạn liên quan tới dữ liệu cá nhân của mình bị vi phạm hoặc không được thực hiện đúng.

6. Đòi bồi thường thiệt hại theo quy định của pháp luật khi có căn cứ cho rằng dữ liệu cá nhân của mình bị xâm phạm.

             Điều 6. Tiết lộ dữ liệu cá nhân

1. Bên xử lý dữ liệu cá nhân, Bên thứ ba có thể tiết lộ dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp:

a) Theo quy định của pháp luật;

b) Công bố thông tin là cần thiết vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội;

c) Trên phương tiện truyền thông vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng;

d) Trên phương tiện truyền thông theo quy định của Luật Báo chí, không gây thiệt hại về kinh tế, danh dự, tinh thần, vật chất cho chủ thể dữ liệu;

đ) Trong trường hợp được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng.

2. Bên xử lý dữ liệu cá nhân, Bên thứ ba chấm dứt ngay việc tiết lộ dữ liệu cá nhân khi chủ thể dữ liệu yêu cầu, trừ trường hợp quy định tại khoản 1 Điều này.    

3. Không tiết lộ dữ liệu cá nhân của người khác trong trường hợp sau:

a) Dữ liệu được đề cập là dữ liệu cá nhân nhạy cảm;

b) Làm tổn hại đến lợi ích hợp pháp của chủ thể dữ liệu.

4. Việc ghi âm, ghi hình và xử lý dữ liệu thu được qua hoạt động ghi âm, ghi hình ở nơi công cộng của cơ quan nhà nước có thẩm quyền trong trường hợp pháp luật quy định được coi là đã có sự đồng ý của chủ thể dữ liệu.

a) Cơ quan thu thập có nghĩa vụ thông báo cho chủ thể dữ liệu theo cách mà chủ thể dữ liệu hiểu được việc họ đang bị ghi âm, thu hình và xử lý dữ liệu để chủ thể dữ liệu biết cách ngăn chặn nếu họ muốn;

b) Không áp dụng nghĩa vụ thông báo trong trường hợp vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng.

             Điều 7. Hạn chế tiếp cận dữ liệu cá nhân

Bên xử lý dữ liệu cá nhân hạn chế tiếp cận dữ liệu cá nhân của đối tượng không phải chủ thể dữ liệu trong trường hợp:

1. Tác động xấu đến lợi ích, an ninh quốc gia, trật tự an toàn xã hội.

2. Ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

3. Tiết lộ, chia sẻ dữ liệu cá nhân cho Bên thứ ba trái quy định pháp luật.

4. Ảnh hưởng tới sự bí mật về quyền riêng tư, quyền tự do của người khác.

5. Cản trở, gây ảnh hưởng tới quá trình điều tra, xử lý hành vi vi phạm pháp luật.

             Điều 8. Sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân

1. Sự đồng ý của chủ thể dữ liệu cho phép xử lý dữ liệu cá nhân của mình chỉ có hiệu lực nếu dựa trên sự tự nguyện và biết rõ các nội dung sau:

a) Loại dữ liệu cá nhân được xử lý;

b) Mục đích xử lý dữ liệu cá nhân;

c) Đối tượng được xử lý, chia sẻ dữ liệu cá nhân;

d) Điều kiện chuyển giao, chia sẻ dữ liệu cá nhân cho bên thứ ba;

đ) Các quyền của chủ thể dữ liệu liên quan đến việc xử lý dữ liệu cá nhân của mình theo quy định của pháp luật.

2. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

3. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.     

4. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản.

5. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được giải thích rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm và sự đồng ý của chủ thể dữ liệu ở định dạng có thể được in, sao chép bằng văn bản.

6. Sự đồng ý của chủ thể dữ liệu có hiệu lực trong suốt thời gian tồn tại của chủ thể dữ liệu và trong hai mươi năm sau khi chủ thể dữ liệu chết đối với các hoạt động của cơ quan nhà nước được pháp luật quy định, trừ khi chủ thể dữ liệu có quyết định khác.

7. Sự đồng ý có thể bị rút lại bởi chủ thể dữ liệu bất cứ lúc nào.

8. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc Bên xử lý dữ liệu cá nhân. 

Điều 9. Xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết

 1. Sau khi chủ thể dữ liệu chết, việc xử lý dữ liệu cá nhân liên quan đến chủ thể dữ liệu chỉ được thực hiện theo di chúc hoặc sự đồng ý bằng văn bản của người theo thứ tự hàng thừa kế theo quy định pháp luật nếu khác với thỏa thuận đã có sự đồng ý của chủ thể dữ liệu với Bên xử lý dữ liệu cá nhân và bảo đảm quy định tại khoản 6 Điều 8 Nghị định này.

2. Không áp dụng quy định tại khoản 1 Điều này nếu dữ liệu cá nhân được xử lý chỉ chứa tên, giới tính, ngày tháng năm sinh, ngày tháng năm chết, mất tích và nguyên nhân tử vong.

             Điều 10. Xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu

1. Dữ liệu cá nhân được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp sau:

a) Theo quy định của pháp luật;

b) Vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội;

c) Trong trường hợp được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng;

d) Phục vụ điều tra, xử lý hành vi vi phạm pháp luật;

đ) Thực hiện quy định cụ thể nêu rõ cho phép xử lý dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu tại thỏa thuận quốc tế, điều ước quốc tế mà Việt Nam là thành viên;

e) Xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê theo quy định tại Điều 12 Nghị định này.

2. Được chia sẻ dữ liệu cá nhân hoặc cấp quyền truy cập vào dữ liệu cá nhân cho Bên thứ ba mà không có sự đồng ý của chủ thể dữ liệu trong trường hợp:

a) Theo quy định của pháp luật hoặc thỏa thuận quốc tế, điều ước quốc tế mà Việt Nam là thành viên;

b) Bảo vệ tính mạng, sức khỏe hoặc tự do của chủ thể dữ liệu;

c) Không ảnh hưởng tới quyền và lợi ích của chủ thể dữ liệu và việc có được sự đồng ý của chủ thể dữ liệu là bất khả thi;

d) Xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê theo quy định tại Điều 12 Nghị định này.

             Điều 11. Thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân

1. Tất cả hoạt động xử lý dữ liệu cá nhân đều phải được thông báo cho chủ thể dữ liệu, trừ trường hợp quy định tại khoản 3 Điều này và trường hợp pháp luật có quy định khác.

2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:

a) Thông tin về Bên xử lý dữ liệu cá nhân;

b) Loại dữ liệu cá nhân xử lý và cách xử lý;

c) Thời gian, mục đích xử lý;

d) Loại dữ liệu cá nhân được xử lý trong các tình huống đặc biệt hoặc mục đích xử lý đặc biệt có thể tạo ra nguy cơ gây hại đáng kể;

đ) Quyền và thủ tục thực hiện quyền của chủ thể dữ liệu;

e) Xếp hạng độ tin cậy trong bảo vệ dữ liệu cá nhân được thực hiện bởi Ủy ban bảo vệ dữ liệu cá nhân;

g) Thông tin liên quan đến việc chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam;

h) Những thông tin khác theo quy định.

3. Bên xử lý dữ liệu cá nhân không cần thông báo về việc xử lý dữ liệu cá nhân trong các trường hợp sau:

a) Nếu chủ thể dữ liệu đã đồng ý toàn bộ với các nội dung, hoạt động xử lý dữ liệu cá nhân;

b) Nếu việc xử lý dữ liệu cá nhân được quy định bởi pháp luật, thỏa thuận quốc tế, điều ước quốc tế;

c) Không ảnh hưởng tới quyền và lợi ích của chủ thể dữ liệu và thông báo cho chủ thể dữ liệu là không thể;

d) Xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê theo quy định tại Điều 12 Nghị định này.

             Điều 12. Xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê

1. Việc xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê ở dạng mã hóa không cần có sự đồng ý của chủ thể dữ liệu.

2. Trước khi bàn giao dữ liệu cá nhân để xử lý dữ liệu phục vụ công tác nghiên cứu khoa học hoặc thống kê, dữ liệu nhận dạng một người phải được khử nhận dạng và thay thế bằng mã. Giải mã và khả năng giải mã chỉ được phép thực hiện phục vụ công tác nghiên cứu khoa học hoặc thống kê. Bên xử lý dữ liệu cá nhân chỉ định bằng văn bản một người cụ thể có quyền truy cập vào thông tin cho phép giải mã.

3. Kết quả xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê không thể tổng hợp thành thông tin của một chủ thể dữ liệu cụ thể.

4. Việc xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê mà không được sự đồng ý của chủ thể dữ liệu cần thực hiện đầy đủ các biện pháp sau đây:

a) Có cam kết bảo vệ dữ liệu cá nhân;

b) Có biện pháp bảo mật dữ liệu cá nhân;

c) Có thiết bị vật lý bảo vệ dữ liệu cá nhân;

d) Có bộ phận chuyên trách được phân công nhiệm vụ bảo vệ dữ liệu cá nhân;

đ) Đã đăng ký xử lý dữ liệu cá nhân nhạy cảm với Ủy ban bảo vệ dữ liệu cá nhân;

e) Có văn bản xác nhận của Ủy ban bảo vệ dữ liệu cá nhân về việc đã xác minh điều kiện và việc tuân thủ các yêu cầu được nêu tại điểm a, b, c, d, đ Khoản này.

             Điều 13. Xử lý dữ liệu cá nhân tự động

1. Việc xử lý dữ liệu cá nhân tự động chỉ được thực hiện trong quá trình tham gia hoặc thực hiện hợp đồng, với điều kiện chủ thể dữ liệu đã biết và đồng ý với việc xử lý dữ liệu tự động.

2. Việc xử lý dữ liệu cá nhân tự động phải được thông báo tới chủ thể dữ liệu trước khi thực hiện.

3. Việc thông báo đến chủ thể dữ liệu phải được thực hiện dễ hiểu, rõ ràng, bao gồm các nội dung cụ thể về quy trình và điều kiện xử lý dữ liệu cá nhân.

             Điều 14. Xử lý dữ liệu cá nhân của trẻ em

1. Nguyên tắc xử lý dữ liệu cá nhân của trẻ em

a) Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em;

b) Trước khi xử lý bất kỳ dữ liệu cá nhân nào của trẻ em, Bên xử lý dữ liệu phải xác minh tuổi của trẻ em và được sự đồng ý của cha mẹ hoặc người giám hộ theo quy định.

2. Khi xử lý dữ liệu cá nhân của trẻ em, Bên xử lý dữ liệu cá nhân có quyền:

a) Chỉnh sửa dữ liệu cá nhân không chính xác hoặc sai lệch;

b) Cập nhật dữ liệu cá nhân không đầy đủ;

c) Cập nhật, xử lý dữ liệu cá nhân đã lỗi thời;

d) Xóa dữ liệu cá nhân không còn cần thiết cho mục đích xử lý dữ liệu đó.

3. Khi thực hiện các hoạt động được nêu tại khoản 2 Điều này, Bên xử lý dữ liệu phải thực hiện các bước cần thiết để thông báo cho tất cả các chủ thể có liên quan đến dữ liệu cá nhân của trẻ em.

4. Việc xử lý dữ liệu cá nhân của trẻ em phải chấm dứt trong trường hợp:

a) Đã hoàn thành mục đích thu thập hoặc không còn cần thiết cho mục đích đó và được yêu cầu bởi chủ thể dữ liệu và người giám hộ theo quy định của pháp luật;

b) Cha mẹ hoặc người giám hộ rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em;

c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

             Điều 15. Độ chính xác của dữ liệu cá nhân

Bên xử lý dữ liệu cá nhân có trách nhiệm bảo đảm cho dữ liệu cá nhân được chính xác và đầy đủ trong trường hợp:

1. Đã được sự đồng ý cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.

2. Bảo đảm đúng mục đích xử lý dữ liệu.

             Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân

1. Bên xử lý dữ liệu cá nhân lưu trữ dữ liệu cá nhân được xử lý hợp pháp theo hình thức phù hợp và có biện pháp ngăn chặn việc xử lý dữ liệu cá nhân trái pháp luật.

2. Bên xử lý dữ liệu cá nhân ngừng lưu trữ, xóa dữ liệu cá nhân và hủy phương tiện lưu trữ dữ liệu cá nhân trong trường hợp:

a) Không đúng mục đích xử lý dữ liệu cá nhân đã đăng ký hoặc thông báo với chủ thể dữ liệu;

b) Việc duy trì lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên xử lý dữ liệu cá nhân;

c) Sau hai mươi năm sau khi chủ thể dữ liệu chết, trừ khi chủ thể dữ liệu có quyết định khác.

Chương III

BIỆN PHÁP BẢO VỆ DỮ LIỆU CÁ NHÂN

             Điều 17. Biện pháp kỹ thuật

1. Bên xử lý dữ liệu cá nhân áp dụng các biện pháp quản lý, kỹ thuật, vật lý để bảo vệ dữ liệu cá nhân nhằm:

a) Bảo đảm tính bảo mật, toàn vẹn, khả dụng của dữ liệu cá nhân;

b) Khử nhận dạng và mã hóa;

c) Lưu trữ, sao chép, trích xuất và bảo vệ lịch sử xử lý dữ liệu cá nhân của Bên xử lý dữ liệu cá nhân.

2. Khi xử lý dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân phải thực hiện biện pháp:

a) Ngăn chặn việc tiếp cận trái phép vào các thiết bị được sử dụng để xử lý dữ liệu cá nhân; 

b) Ngăn chặn việc đọc, sao chép, thay đổi, xóa dữ liệu cá nhân trái phép;

c) Thống kê về thời gian, chủ thể và dữ liệu cá nhân nào được ghi lại, thay đổi hoặc xóa hoặc khi tiếp cận; 

 d) Bảo đảm đúng quyền tiếp cận, truy cấp, xử lý dữ liệu cá nhân của người được cấp quyền;

đ) Thống kê chi tiết việc truyền đưa, chia sẻ, chuyển giao dữ liệu cá nhân theo các nội dung: thời gian, chủ thể, loại dữ liệu và hình thức lưu trữ;

e) Bảo đảm việc đọc, sao chép, thay đổi hoặc xóa, hủy trái phép không được thực hiện trong quá trình chuyển giao, chia sẻ dữ liệu cá nhân qua thiết bị truyền thông dữ liệu và khi truyền dẫn qua các thiết bị mang dữ liệu;

g) Có thống kê về thiết bị và phần mềm xử lý dữ liệu cá nhân, gồm: tên, chủng loại, địa điểm và tên của nhà sản xuất thiết bị; tên, phiên bản và tên của nhà sản xuất phần mềm, và các chi tiết liên lạc của nhà sản xuất.

               Điều 18. Xây dựng quy định bảo vệ dữ liệu cá nhân

1. Bên xử lý dữ liệu cá nhân xây dựng, ban hành các văn bản về bảo vệ dữ liệu cá nhân quy định cụ thể việc thực hiện những nội dung theo quy định của Nghị định này.

2. Bên xử lý dữ liệu cá nhân chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định cán bộ phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Ủy ban bảo vệ dữ liệu cá nhân.

3. Bên xử lý dữ liệu cá nhân ban hành quy định tiếp nhận và trả lời các khiếu nại có thể phát sinh liên quan đến việc bảo vệ dữ liệu cá nhân.

Điều 19. Thanh tra, kiểm tra hoạt động bảo vệ dữ liệu cá nhân  

1. Ủy ban bảo vệ dữ liệu cá nhân có trách nhiệm đề nghị Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an ra Quyết định thanh tra, kiểm tra hoạt động bảo vệ dữ liệu cá nhân theo thẩm quyền. Thành viên Đoàn thanh tra, kiểm tra bao gồm thành viên của Ủy ban bảo vệ dữ liệu cá nhân và cơ quan chức năng có thẩm quyền.

2. Việc thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân được thực hiện không quá 02 lần một năm đối với một cơ quan, tổ chức, trừ trường hợp có căn cứ xác định cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân.

             Điều 20. Đăng ký xử lý dữ liệu cá nhân nhạy cảm

1. Dữ liệu cá nhân nhạy cảm phải được đăng ký với Ủy ban bảo vệ dữ liệu cá nhân trước khi tiến hành xử lý.

2. Hồ sơ, thủ tục đăng ký xử lý dữ liệu cá nhân nhạy cảm, bao gồm:

a) Đơn đăng ký xử lý dữ liệu cá nhân nhạy cảm, gồm các nội dung: tên, cơ quan đăng ký hoặc mã nhận dạng cá nhân, địa điểm kinh doanh, nơi cư trú và các thông tin liên lạc khác của bên xử lý dữ liệu cá nhân; trích dẫn cơ sở pháp lý của việc xử lý dữ liệu cá nhân; mục đích xử lý dữ liệu cá nhân; các loại dữ liệu cá nhân; các loại đối tượng có dữ liệu được xử lý; nguồn dữ liệu cá nhân; người hoặc nhóm được phép truyền dữ liệu cá nhân; địa điểm hoặc nơi xử lý dữ liệu cá nhân; các điều kiện chuyển giao dữ liệu cá nhân cho các quốc gia nước ngoài; mô tả chi tiết về các biện pháp bảo vệ dữ liệu cá nhân.

b) Báo cáo đánh giá tác động khi xử lý dữ liệu cá nhân nhạy cảm, bao gồm các nội dung: mô tả chi tiết về hoạt động xử lý được đề xuất, mục đích xử lý và bản chất của dữ liệu cá nhân đang được xử lý; đánh giá tác hại tiềm ẩn có thể gây ra đối với các chủ thể dữ liệu có dữ liệu cá nhân được đề xuất xử lý; các biện pháp quản lý, giảm thiểu hoặc loại bỏ nguy cơ gây hại đó.

c) Văn bản, thông tin liên quan tới nội dung được đề cập trong Đơn xử lý dữ liệu cá nhân và Báo cáo đánh giá tác động khi xử lý dữ liệu cá nhân nhạy cảm.

3. Ủy ban bảo vệ dữ liệu cá nhân xử lý hồ sơ đăng ký xử lý dữ liệu cá nhân nhạy cảm trong vòng 20 ngày làm việc kể từ ngày nhận hồ sơ hợp lệ. Ủy ban bảo vệ dữ liệu cá nhân có quyền kiểm tra thực tế các nội dung thông tin được nêu trong hồ sơ đăng ký xử lý dữ liệu cá nhân nhạy cảm.

4. Bên xử lý dữ liệu cá nhân không phải đăng ký xử lý dữ liệu cá nhân nhạy cảm trong trường hợp:

a) Dữ liệu cá nhân được xử lý nhằm phục vụ công tác phòng ngừa, phát hiện, điều tra, xử lý hành vi vi phạm pháp luật;

b) Thực hiện chức năng chăm sóc sức khỏe của các cơ sở y tế, an sinh xã hội của cơ quan nhà nước theo quy định của pháp luật;

c) Phục vụ chức năng tư pháp của Tòa án;

d) Phục vụ mục đích nghiên cứu, lưu trữ hoặc thống kê của cơ quan nhà nước hoặc tổ chức nghiên cứu khoa học và được Ủy ban bảo vệ dữ liệu cá nhân xác nhận đối với các nội dung sau: Có văn bản xác nhận phù hợp với mục đích nghiên cứu, lưu trữ, thống kê theo hồ sơ; Đã khử nhận dạng đối với dữ liệu cá nhân; Không sử dụng vào mục đích, hoạt động ảnh hưởng tới chủ thể dữ liệu;

đ) Các hoạt động khác theo quy định của pháp luật.

Điều 21. Chuyển dữ liệu cá nhân qua biên giới

1. Dữ liệu cá nhân của công dân Việt Nam có thể chuyển ra khỏi biên giới lãnh thổ Việt Nam khi đáp ứng đầy đủ 04 điều kiện sau:

a) Khi có sự đồng ý của chủ thể dữ liệu về việc chuyển giao;

b) Dữ liệu gốc được lưu trữ tại Việt Nam;

c) Có văn bản chứng minh quốc gia, vùng lãnh thổ hoặc một khu vực cụ thể trong quốc gia hoặc vùng lãnh thổ chuyển đến đã ban hành quy định bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc cao hơn với quy định tại Nghị định này;

d) Có văn bản đồng ý bằng văn bản của Ủy ban bảo vệ dữ liệu cá nhân.

2. Cơ sở để Cơ quan bảo vệ dữ liệu ra văn bản về việc chuyển dữ liệu cá nhân qua biên giới:

a) Bảo vệ hiệu quả các quyền của chủ thể dữ liệu theo Nghị định này;

b) Cam kết của Bên xử lý dữ liệu cá nhân khi đăng ký chuyển dữ liệu cá nhân qua biên giới;

c) Biện pháp bảo vệ dữ liệu cá nhân được Bên xử lý dữ liệu cá nhân thể hiện trong hồ sơ.

3. Dữ liệu cá nhân có thể được chuyển ra khỏi bên giới lãnh thổ Việt Nam không đáp ứng các điều kiện quy định tại khoản 1 Điều này trong trường hợp:

a) Có sự đồng ý của chủ thể dữ liệu;

b) Có văn bản đồng ý của Ủy ban bảo vệ dữ liệu cá nhân;

c) Cam kết bảo vệ dữ liệu cá nhân của Bên xử lý dữ liệu;

d) Cam kết áp dụng các biện pháp bảo vệ dữ liệu cá nhân của Bên xử lý dữ liệu cá nhân.

4. Bên xử lý dữ liệu cá nhân chuyển dữ liệu ra nước ngoài phải xây dựng hệ thống lưu trữ lịch sử chuyển dữ liệu trong thời gian 03 năm, gồm các nội dung:

a) Thời gian cung cấp dữ liệu cá nhân ra bên ngoài;

b) Danh tính bên tiếp nhận, bao gồm tên, địa chỉ, hình thức liên hệ;

c) Loại, số lượng, độ nhạy cảm của dữ liệu cá nhân chuyển ra bên ngoài;

d) Các nội dung khác do Cơ bảo vệ dữ liệu cá nhân quy định.

5. Ủy ban bảo vệ dữ liệu cá nhân định kỳ tổ chức đánh giá tình hình chuyển giao dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam của Bên xử lý dữ liệu cá nhân một năm một lần.

6. Ngừng chuyển dữ liệu cá nhân qua biên giới khi xảy ra một trong những tình huống sau:

a) Bên xử lý dữ liệu cá nhân hoặc bên tiếp nhận để xảy ra các sự cố lạm dụng, lộ lọt dữ liệu số lượng lớn;

b) Chủ thể dữ liệu không thể hoặc khó bảo vệ quyền lợi hợp pháp của mình;

c) Bên xử lý dữ liệu cá nhân hoặc bên tiếp nhận không đủ khả năng bảo vệ dữ liệu cá nhân.

7. Hồ sơ, thủ tục đăng ký chuyển dữ liệu cá nhân qua biên giới, bao gồm:

a) Đơn đăng ký chuyển dữ liệu cá nhân qua biên giới, gồm các nội dung: tên, cơ quan đăng ký, địa điểm kinh doanh, nơi cư trú và các thông tin liên lạc khác của bên xử lý dữ liệu cá nhân; trích dẫn cơ sở pháp lý của việc chuyển dữ liệu cá nhân qua biên giới; mục đích chuyển dữ liệu cá nhân qua biên giới; các loại dữ liệu cá nhân đăng ký chuyển qua biên giới; nguồn dữ liệu cá nhân đăng ký chuyển qua biên giới; địa điểm hoặc nơi đăng ký chuyển dữ liệu cá nhân qua biên giới; các điều kiện chuyển dữ liệu cá nhân qua biên giới; mô tả chi tiết về các biện pháp bảo vệ dữ liệu cá nhân.

b) Báo cáo đánh giá tác động khi đăng ký chuyển dữ liệu cá nhân qua biên giới, bao gồm các nội dung: mô tả chi tiết về hoạt động chuyển dữ liệu cá nhân qua biên giới, mục đích chuyển dữ liệu cá nhân qua biên giới; đánh giá nguy cơ, tác hại có thể xảy ra; các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

c) Văn bản liên quan tới nội dung được đề cập trong Đơn xử lý dữ liệu cá nhân và Báo cáo đánh giá tác động khi xử lý dữ liệu cá nhân nhạy cảm.

8. Ủy ban bảo vệ dữ liệu cá nhân xử lý hồ sơ đăng ký chuyển dữ liệu cá nhân qua biên giới trong vòng 20 ngày làm việc kể từ ngày nhận hồ sơ. Ủy ban bảo vệ dữ liệu cá nhân có quyền kiểm tra thực tế các nội dung thông tin được nêu trong hồ sơ đăng ký chuyển dữ liệu cá nhân qua biên giới.

             Điều 22. Xử lý vi phạm hành chính đối với những hành vi vi phạm quy định về xử lý dữ liệu cá nhân

1. Phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

a) Vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân;

b) Vi phạm quy định về tiết lộ dữ liệu cá nhân;

c) Vi phạm quy định về hạn chế quyền tiếp cận dữ liệu cá nhân

d) Vi phạm quy định về sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân;

đ) Vi phạm quy định về xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết;

e) Vi phạm quy định về xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu;

g) Vi phạm quy định về thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân;

h) Vi phạm quy định về xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê;

i) Vi phạm quy định về xử lý dữ liệu cá nhân tự động;

k) Vi phạm quy định về xử lý dữ liệu cá nhân của trẻ em;

l) Vi phạm quy định về độ chính xác của dữ liệu cá nhân;

m) Vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân.

2. Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân;

b) Vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm;

c) Vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới;

d) Vi phạm lần 2 đối với những hành vi được quy định tại khoản 1 Điều này.

3. Phạt tiền tối đa 5% tổng doanh thu của Bên xử lý vi phạm dữ liệu cá nhân tại Việt Nam đối với các hành vi:

a) Vi phạm lần 3 đối với những hành vi được quy định tại khoản 1 Điều này;

b) Vi phạm lần 2 đối với những hành vi được quy định tại điểm a, b, c khoản 2 Điều này.

4. Hình thức xử phạt bổ sung:

a) Đình chỉ xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với hành vi vi phạm tại khoản 2 Điều này;

b) Tước quyền sử dụng văn bản đồng ý xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam.

5. Biện pháp khắc phục hậu quả: Buộc nộp lại số tiền có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2 Điều này.

6. Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an có thẩm quyền xử phạt vi phạm hành chính theo quy định tại khoản 1, 2, 3, 4, 5 Điều này.

Chương IV

ỦY BAN BẢO VỆ DỮ LIỆU CÁ NHÂN

             Điều 23. Ủy ban bảo vệ dữ liệu cá nhân

1. Ủy ban bảo vệ dữ liệu cá nhân là tổ chức trực thuộc Chính phủ, đặt tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an. Thành viên Ủy ban bảo vệ dữ liệu cá nhân gồm không quá 06 đồng chí có trình độ chuyên môn và kinh nghiệm về pháp luật về bảo vệ dữ liệu cá nhân, hoạt động kiêm nhiệm.

2. Ủy ban bảo vệ dữ liệu cá nhân có con dấu riêng. Chủ tịch Ủy ban bảo vệ dữ liệu cá nhân là Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.

3. Chủ tịch và các thành viên Ủy ban bảo vệ dữ liệu cá nhân được Bộ Công an ra Quyết định bổ nhiệm thành viên sau khi được Chính phủ đồng ý.

             Điều 24. Chức năng, nhiệm vụ của Ủy ban bảo vệ dữ liệu cá nhân

1. Triển khai các hoạt động nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

2. Cung cấp dịch vụ tư vấn, kỹ thuật, quản lý hoặc các dịch vụ chuyên biệt khác liên quan đến bảo vệ dữ liệu cá nhân.

3. Tư vấn cho Chính phủ về vấn đề liên quan đến bảo vệ dữ liệu cá nhân.

4. Tiến hành nghiên cứu và thúc đẩy các hoạt động giáo dục liên quan đến bảo vệ dữ liệu cá nhân, bao gồm tổ chức và thực hiện các hội thảo, hội nghị chuyên đề liên quan và hỗ trợ các tổ chức khác thực hiện các hoạt động đó.

5. Quản lý hợp tác kỹ thuật và trao đổi trong lĩnh vực bảo vệ dữ liệu cá nhân với các tổ chức khác, bao gồm các cơ quan bảo vệ dữ liệu nước ngoài, các tổ chức quốc tế hoặc liên chính phủ, hoặc nhân danh Chính phủ.

6. Bảo vệ quyền lợi của chủ thể dữ liệu, ngăn chặn mọi hành vi lạm dụng dữ liệu cá nhân, bảo đảm tuân thủ các quy định của pháp luật và thúc đẩy nhận thức về bảo vệ dữ liệu.

7. Đánh giá, xếp hạng mức độ tin cậy về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức và công bố trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

8. Phân loại dữ liệu cá nhân và phân loại vi phạm quy định về bảo vệ dữ liệu cá nhân.

9. Ban hành các hướng dẫn bảo vệ dữ liệu cá nhân.

10. Giám sát, đánh giá sự phát triển công nghệ và thực tiễn thương mại có thể ảnh hưởng đến việc bảo vệ dữ liệu cá nhân.

11. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân.

12. Tư vấn cho Chính phủ và bất kỳ cơ quan nào khác về các biện pháp cần thực hiện để bảo vệ dữ liệu cá nhân và đảm bảo tính nhất quán của việc áp dụng và thi hành quy định của pháp luật về bảo vệ dữ liệu cá nhân.

13. Được quyền xử lý dữ liệu cá nhân phục vụ hoạt động của Nhà nước, trừ trường hợp pháp luật có quy định khác.

14. Có ý kiến thẩm định đối với tất cả quy định bảo vệ dữ liệu cá nhân trước khi được công bố của Bên xử lý dữ liệu cá nhân nếu liên quan tới quyền và lợi ích hợp pháp của chủ thể dữ liệu. Nội dung thẩm định bao gồm:

a) Nội dung, cách thức thông báo tới chủ thể dữ liệu;

b) Các biện pháp bảo vệ dữ liệu cá nhân;

c) Các biện pháp liên quan đến việc xử lý, lưu trữ dữ liệu cá nhân;

d) Liên quan tới xử lý dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu;

đ) Xử lý dữ liệu cá nhân nhạy cảm;

e) Xử lý dữ liệu cá nhân của trẻ em;

g) Thực hiện bất kỳ quyền nào của chủ sở hữu dữ liệu được quy định tại Nghị định này;

h) Các tiêu chuẩn và phương tiện bảo vệ dữ liệu cá nhân;

i) Trách nhiệm bảo vệ dữ liệu cá nhân;

k) Các biện pháp bảo vệ an ninh mạng đối với dữ liệu cá nhân;

l) Phương pháp khử nhận dạng và ẩn danh;

m) Phương pháp hủy, xóa dữ liệu cá nhân;

n) Đánh giá tác động trong thu thập, phân tích, xử lý, lưu trữ dữ liệu cá nhân;

o) Chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam;

p) Xử lý dữ liệu cá nhân nhạy cảm phục vụ nghiên cứu, lưu trữ hoặc thống kê;

q) Các vấn đề khác có liên quan tới dữ liệu cá nhân theo quy định của pháp luật.

15. Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật.

16. Tiếp nhận hồ sơ đăng ký xử lý dữ liệu cá nhân nhạy cảm, hồ sơ đăng ký chuyển dữ liệu cá nhân qua biên giới.

17. Đề nghị Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an thực hiện các hoạt động sau:

a) Thanh tra, kiểm tra, giám sát và áp dụng các quy định bảo vệ dữ liệu cá nhân;

b) Xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định;

c) Có văn bản đồng ý hoặc không đồng ý đối với hồ sơ đăng ký xử lý dữ liệu cá nhân nhạy cảm, hồ sơ đăng ký chuyển dữ liệu cá nhân qua biên giới;

d) Thanh tra, kiểm tra việc chấp hành quy định về xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam;

đ) Giải quyết khiếu nại về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này;

e) Yêu cầu cơ quan, tổ chức xử lý dữ liệu cá nhân thay đổi cách thức thu thập, xử lý, lưu trữ dữ liệu cá nhân cho phù hợp với quy định của pháp luật;

g) Tạm thời đình chỉ, đình chỉ hoặc ra văn bản yêu cầu ngừng xử lý dữ liệu cá nhân nếu cơ quan, tổ chức vi phạm quy định;

h) Tạm đình chỉ, đình chỉ hoặc hủy bỏ văn bản đã cấp cho Bên xử lý dữ liệu cá nhân trong trường hợp vi phạm quy định xử lý dữ liệu cá nhân nhạy cảm, chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam.

Chương V

TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN

             Điều 25. Trách nhiệm của Ủy ban bảo vệ dữ liệu cá nhân

1. Thực hiện chức năng, nhiệm vụ được quy định tại Nghị định này.

2. Xây dựng và ban hành Bộ Tiêu chí đánh giá mức độ tin cậy bảo vệ dữ liệu cá nhân của cơ quan, tổ chức có hoạt động xử lý dữ liệu cá nhân.

3. Xây dựng và vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

4. Tiếp nhận và xử lý hồ sơ đăng ký xử lý dữ liệu cá nhân nhạy cảm và hồ sơ đăng ký chuyển dữ liệu cá nhân qua biên giới.

5. Thu thập, công bố danh sách cơ quan, tổ chức có hoạt động xử lý dữ liệu cá nhân.

6. Tổ chức các hội nghị, hội nghị, hoạt động bảo vệ dữ liệu cá nhân.

7. Đánh giá kết quả hoạt động bảo vệ dữ liệu cá nhân hằng năm.

8. Giám sát hoạt động bảo vệ dữ liệu cá nhân theo quy định.

             Điều 26. Trách nhiệm của các bộ, ngành liên quan

1. Bộ Công an

a) Bộ Công an giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân;

b) Quản lý, bảo đảm Ủy ban bảo vệ dữ liệu cá nhân hoạt động đúng chức năng, nhiệm vụ được quy định;

c) Điều tra, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

2. Bộ Tài chính bảo đảm kinh phí thường xuyên phục vụ hoạt động của Ủy ban bảo vệ dữ liệu cá nhân theo quy định của Luật Ngân sách nhà nước và các văn bản hướng dẫn thi hành.

3. Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ

a) Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này;

b) Trao đổi Ủy ban bảo vệ dữ liệu cá nhân danh sách tổ chức và cá nhân đầu mối phụ trách bảo vệ dữ liệu cá nhân;

c) Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.

Điều 27. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương

1. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.

2. Trao đổi Ủy ban bảo vệ dữ liệu cá nhân danh sách tổ chức và cá nhân đầu mối phụ trách bảo vệ dữ liệu cá nhân.

3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.

Điều 28. Trách nhiệm của tổ chức, cá nhân có liên quan

1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.

2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.

3. Thông báo kịp thời cho Ủy ban bảo vệ dữ liệu cá nhân về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.

4. Phối hợp với Bộ Công an và Ủy ban bảo vệ dữ liệu cá nhân trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.

Chương VI

ĐIỀU KHOẢN THI HÀNH

             Điều 29. Hiệu lực thi hành

Nghị định này có hiệu lực thi hành từ ngày 01 tháng 12 năm 2021.

             Điều 30. Trách nhiệm thi hành

1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này.

2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương chịu trách nhiệm thi hành Nghị định này./.