Dự thảo Nghị định quy định chi tiết Luật Bảo vệ dữ liệu cá nhân

Dự thảo xin ý kiến

ngày 12.9.2025

NGHỊ ĐỊNH

Quy định chi tiết một số điều Luật Bảo vệ dữ liệu cá nhân

^__________

Căn cứ Luật Tổ chức Chính phủ ngày 18 tháng 02 năm 2025;

Căn cứ Luật Bảo vệ dữ liệu cá nhân ngày 26 tháng 6 năm 2025;

Theo đề nghị của Bộ trưởng Bộ Công an;

Chính phủ ban hành Nghị định quy định chi tiết một số điều Luật Bảo vệ dữ liệu cá nhân.

 Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Nghị định này quy định chi tiết khoản 2, khoản 3 Điều 2; khoản 5 Điều 4; khoản 3 Điều 6; khoản 5 Điều 9; khoản 3 Điều 17; khoản 7 Điều 20; khoản 7 Điều 21; khoản 4 Điều 22; khoản 5 Điều 23; khoản 3 Điều 27; khoản 6 Điều 30; điểm b khoản 4 Điều 31; khoản 3 Điều 33; Điều 35; khoản 4 Điều 38 Luật Bảo vệ dữ liệu cá nhân.

Điều 2. Đối tượng áp dụng

1. Cơ quan, tổ chức, cá nhân Việt Nam;

2. Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

3. Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

Điều 3. Dữ liệu cá nhân cơ bản

Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, không thuộc danh mục dữ liệu cá nhân nhạy cảm quy định tại Điều 4 Nghị định này.

Điều 4. Dữ liệu cá nhân nhạy cảm

1. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân; khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; yêu cầu phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ.

2. Dữ liệu cá nhân nhạy cảm bao gồm:

a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;

b) Quan điểm về ​​chính trị, tôn giáo, tín ngưỡng;

c) Dữ liệu tiết lộ về đời tư;

d) Tình trạng sức khỏe;

đ) Dữ liệu sinh trắc học, đặc điểm di truyền;

e) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;

g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h) Vị trí của cá nhân được xác định qua dịch vụ định vị;

i) Danh tính điện tử của cá nhân;

k) Tên đăng nhập, mật khẩu truy cập của tài khoản; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin khác liên quan đến hoạt động giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;

l) Dữ liệu về hoạt động, lịch sử hoạt động của thuê bao viễn thông;

m) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

n) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc do tổ chức, cá nhân xác định cần có biện pháp bảo mật chặt chẽ.

Chương II

YÊU CẦU, ĐIỀU KIỆN BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 5. Thực hiện quyền của chủ thể dữ liệu cá nhân

1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân; đảm bảo chủ thể dữ liệu cá nhân được biết về thủ tục thực hiện các quyền quy định tại khoản 1 Điều 4 của Luật Bảo vệ dữ liệu cá nhân.

2. Khi nhận được yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong vòng 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục ngừng xử lý dữ liệu cá nhân và thực hiện trong vòng 07 ngày làm việc.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa không quá 10 ngày làm việc, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn.

3. Khi nhận được yêu cầu xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong vòng 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong vòng 10 ngày làm việc. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong vòng 15 ngày làm việc.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa không quá 10 ngày làm việc, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn.

4. Khi nhận được yêu cầu cung cấp, xóa dữ liệu cá nhân của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong vòng 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong vòng 10 ngày làm việc. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba cung cấp, xóa, hạn chế xử lý dữ liệu của chủ thể dữ liệu cá nhân thì thực hiện trong vòng 15 ngày làm việc.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa không quá 10 ngày làm việc, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn.

Điều 6. Hình thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân

1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân đảm bảo minh chứng rõ ràng, chính xác về phương thức, thời gian, nội dung và xác thực chủ thể dữ liệu cá nhân.

2. Các phương thức xin sự đồng ý của chủ thể dữ liệu cá nhân đảm bảo có thể kiểm chứng được tính chính xác và trách nhiệm của chủ thể dữ liệu cá nhân sau khi đã đồng ý, bao gồm:

a) Bằng văn bản;

b) Bằng giọng nói;

c) Qua tin nhắn điện thoại;

d) Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;

d) Bằng các phương thức khác phù hợp có thể kiểm chứng, xác thực được.

3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không được thiết lập mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân.

4. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

5. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

6. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

7. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý, trừ trường hợp luật có quy định khác.

Điều 7. Chuyển giao dữ liệu cá nhân

1. Tổ chức, cá nhân chuyển giao dữ liệu cá nhân theo điểm a, điểm c, điểm d khoản 1 Điều 17 của Luật phải xác lập thỏa thuận bằng văn bản về việc chuyển giao dữ liệu cá nhân, trong đó nêu rõ các nội dung sau:

a) Mục đích chuyển giao dữ liệu cá nhân;

b) Đối tượng chủ thể dữ liệu cá nhân và loại dữ liệu cá nhân được chuyển giao phù hợp với mục đích chuyển giao;

c) Thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân sau khi hoàn thành mục đích chuyển giao;

d) Cơ sở pháp lý của việc chuyển giao dữ liệu cá nhân;

đ) Trách nhiệm bảo vệ dữ liệu cá nhân trong quá trình chuyển giao, xử lý dữ liệu cá nhân.

e) Trách nhiệm thực hiện các quyền của chủ thể dữ liệu cá nhân.

2. Việc chuyển giao dữ liệu cá nhân nhạy cảm phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh hóa và các biện pháp bảo mật khác trong quá trình chuyển giao.

3. Trường hợp chuyển giao dữ liệu cá nhân có thu phí để cung cấp dịch vụ cho chủ thể dữ liệu cá nhân hoặc để phục vụ lợi ích hợp pháp của chủ thể dữ liệu cá nhân, tổ chức, cá nhân tuân thủ các quy định như sau:

a) Phải thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao, trên cơ sở được biết chính xác mục đích chuyển giao,  tổ chức, cá nhân tiếp nhận và xử lý dữ liệu cá nhân;

b) Chỉ được xử lý dữ liệu cá nhân đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh;

c) Loại dữ liệu cá nhân chuyển giao phải giới hạn trong phạm vi mục đích chuyển giao;

d) Không được thu thập, lưu trữ, hình thành kho dữ liệu cá nhân từ hoạt động chuyển giao dữ liệu cá nhân để sử dụng cho các mục đích khác;

đ) Xác định rõ vai trò bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba trong hoạt động chuyển giao dữ liệu cá nhân;

e) Phải có thỏa thuận chuyển giao, xử lý dữ liệu cá nhân trước khi chuyển và cam kết trách nhiệm, nghĩa vụ với chủ thể dữ liệu cá nhân.

4. Trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, cơ quan, tổ chức phải xây dựng chính sách, quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.

5. Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu.

Điều 8. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng

1. Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm bảo vệ dữ liệu cá nhân theo các tiêu chuẩn bảo vệ dữ liệu quốc tế, tiêu chuẩn bảo vệ dữ liệu cá nhân, tiêu chuẩn an ninh mạng của Việt Nam; thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần; ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân.

2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân khi xin sự đồng ý của chủ thể dữ liệu phải đảm bảo nêu rõ:

a) Liệt kê các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu có;

b) Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan; thời gian lưu trữ dữ liệu cá nhân;

c) Cơ chế, cách thức rút lại sự đồng ý và chính sách xóa, hủy dữ liệu cá nhân theo quy định. 

3. Trong thời gian chậm nhất 72 giờ sau khi phát hiện lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng, tổ chức, cá nhân lưu trữ, khai thác dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu cá nhân.

Điều 9. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn

1. Xử lý dữ liệu lớn là hoạt động xử lý dữ liệu cá nhân ở quy mô lớn, có tính liên tục, tích hợp từ nhiều nguồn khác nhau, có khả năng phân tích hành vi, dự đoán xu hướng hoặc phân loại người dùng.

2. Cơ quan, tổ chức, cá nhân có liên quan khi xử lý dữ liệu lớn cần thực hiện các biện pháp bảo vệ sau:

a) Tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu ngay từ thời điểm bắt đầu xử lý;

b) Áp dụng mã hóa để bảo vệ dữ liệu trong quá trình lưu trữ và truyền tải, có biện pháp bảo đảm dữ liệu không bị truy cập trái phép;

c) Sử dụng các phương thức xác thực mạnh và phân quyền truy cập để đảm bảo chỉ những người có quyền mới có thể truy cập dữ liệu cá nhân;

d) Thực hiện ẩn danh dữ liệu cá nhân, loại bỏ hoặc biến đổi thông tin nhận dạng cá nhân trong dữ liệu để bảo vệ danh tính cá nhân hoặc giả danh dữ liệu, sử dụng kỹ thuật giả danh để làm cho dữ liệu không thể liên kết trực tiếp với các cá nhân cụ thể;

đ) Chỉ thu thập và lưu trữ những dữ liệu cá nhân cần thiết cho mục đích xử lý, hạn chế thu thập dữ liệu cá nhân không cần thiết;

e) Có chính sách lưu trữ, xóa, hủy dữ liệu cá nhân phù hợp, đúng quy định pháp luật;

g) Thực hiện giám sát liên tục, sử dụng các công cụ giám sát để theo dõi hoạt động truy cập dữ liệu cá nhân và phát hiện các hành vi bất thường;

h) Thực hiện kiểm tra, đánh giá định kỳ về an ninh mạng và bảo mật dữ liệu để phát hiện, ngăn chặn và khắc phục lỗ hổng bảo mật;

i) Tổ chức đào tạo, phổ biến và nâng cao nhận thức về bảo mật dữ liệu và các biện pháp bảo vệ dữ liệu cá nhân cho nhân viên định kỳ, đặc biệt là nhân sự trực tiếp xử lý dữ liệu. Tăng cường nhận thức về tầm quan trọng của bảo vệ dữ liệu cá nhân trong toàn tổ chức;

k) Có cơ chế ràng buộc pháp lý với bên thứ ba, đối tác và nhà cung cấp dịch vụ đảm bảo tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân;

l) Thực hiện đánh giá tác động bảo vệ dữ liệu cá nhân trước khi triển khai hệ thống xử lý dữ liệu lớn, đặc biệt nếu có khả năng ảnh hưởng nghiêm trọng đến quyền chủ thể dữ liệu cá nhân;

m) Có cơ chế thông báo và giải thích phù hợp cho chủ thể dữ liệu về việc dữ liệu cá nhân của họ được sử dụng trong hệ thống phân tích dữ liệu lớn.

Điều 10. Bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo

1. Hệ thống trí tuệ nhân tạo là hệ thống dựa trên máy móc được thiết kế để hoạt động với các mức độ tự chủ khác nhau và có khả năng thích ứng sau khi triển khai nhằm đạt được những mục tiêu rõ ràng hoặc ngầm định, suy luận từ dữ liệu đầu vào mà hệ thống này nhận được để tạo ra dự đoán, nội dung, khuyến nghị, quyết định có thể ảnh hưởng đến môi trường thực hoặc môi trường điện tử.

2. Vũ trụ ảo (metaverse) là một vũ trụ kỹ thuật số kết hợp các khía cạnh của truyền thông xã hội, trò chơi trực tuyến, thực tế tăng cường (AR), thực tế ảo (VR), Internet và tiền điện tử để cho phép người dùng sử dụng công nghệ thực tế ảo để tương tác.

3. Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các thuật toán tự học, hệ thống trí tuệ nhân tạo và các hệ thống tự động khác nhưng cần bảo đảm tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích ảnh hưởng thuật toán, trí tuệ nhân tạo và các hệ thống tự động đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu; đưa ra các lựa chọn để chủ thể dữ liệu có quyền không tham gia.

5. Các tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo, gồm:

a) Nghiên cứu, xây dựng và triển khai hệ thống đáp ứng các tiêu chuẩn an ninh mạng, tiêu chuẩn bảo vệ dữ liệu toàn diện cho các hệ thống trí tuệ nhân tạo, đặc biệt chú trọng các yếu tố: bảo mật thông tin, độ tin cậy của thuật toán, tính ổn định hệ thống và khả năng phòng chống tấn công mạng;

b) Thiết lập phương án dự phòng chiến lược cho các tình huống khẩn cấp khi hệ thống trí tuệ nhân tạo gặp sự cố;

c) Xây dựng cơ chế bảo vệ dữ liệu cá nhân theo tiêu chuẩn quốc tế cao nhất; Phát triển hệ thống giám sát và cảnh báo sớm các nguy cơ an ninh mạng;

d) Thiết lập cơ chế kiểm soát, ngăn chặn việc lợi dụng trí tuệ nhân tạo, vũ trụ ảo vào các hoạt động xâm phạm an ninh quốc gia, trật tự an toàn xã hội;

đ) Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần;

e) Thực hiện đánh giá tác động bảo vệ dữ liệu cá nhân trước khi triển khai hệ thống trí tuệ nhân tạo, vũ trụ ảo, đặc biệt nếu có khả năng ảnh hưởng nghiêm trọng đến quyền chủ thể dữ liệu cá nhân.

4. Đảm bảo tính minh bạch và trách nhiệm giải trình trong hoạt động của các hệ thống trí tuệ nhân tạo:

a) Xây dựng quy trình vận hành minh bạch, có cơ sở khoa học cho các hệ thống trí tuệ nhân tạo;

b) Thiết lập cơ chế giám sát đa chiều từ các cơ quan chức năng và cộng đồng;

c) Bảo đảm quyền tiếp cận thông tin và giải trình đối với các quyết định của hệ thống trí tuệ nhân tạo;

d) Hoàn thiện cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ chủ thể dữ liệu cá nhân và tổ chức;

đ) Xây dựng hệ thống đánh giá tác động của trí tuệ nhân tạo đến quyền và lợi ích hợp pháp của công dân;

e) Chỉ sử dụng dữ liệu cá nhân để huấn luyện các mô hình trí tuệ nhân tạo khi có sự đồng ý của chủ thể dữ liệu.

5. Các tổ chức, cá nhân phải thực hiện đánh giá tác động dữ liệu cá nhân trước và sau huấn luyện các thuật toán trí tuệ nhân tạo.

6. Cơ quan có thẩm quyền có quyền yêu cầu hủy thuật toán trí tuệ nhân tạo trong trường hợp vi phạm về bảo vệ dữ liệu cá nhân.

7. Các tổ chức, cá nhân phải thiết lập vùng an toàn cá nhân, giới hạn ghi hình, ghi âm trái phép trong vũ trụ ảo.

8. Người dùng phải có quyền chỉnh sửa, ẩn danh, xóa hồ sơ nhận dạng, kể cả khi nền tảng lưu trữ lịch sử hành vi.

Điều 11. Bảo vệ dữ liệu cá nhân trong công nghệ chuỗi khối

1. Công nghệ chuỗi khối (blockchain) là một hệ thống cơ sở dữ liệu tiên tiến cho phép chia sẻ thông tin một cách minh bạch trong một mạng lưới, thực hiện việc lưu trữ thông tin trong các khối được liên kết với nhau thành một chuỗi, trong đó mỗi khối chứa dữ liệu cần ghi nhận và một mã của khối trước đó, tạo ra một chuỗi liên kết không thể thay đổi mà không có sự đồng thuận từ mạng lưới, đảm bảo tính toàn vẹn, bất biến và khả năng kiểm chứng độc lập của dữ liệu.

2. Các cơ quan, tổ chức, cá nhân có liên quan khi xử lý dữ liệu cá nhân trong công nghệ chuỗi khối cần thực hiện các biện pháp bảo vệ sau:

a) Tuân thủ các quy định về bảo vệ dữ liệu cá nhân ngay trong quá trình nghiên cứu, phát triển các sản phẩm, dịch vụ, ứng dụng, hệ thống sử dụng công nghệ chuỗi khối và trong quá trình xử lý dữ liệu cá nhân.

b) Không lưu trữ trực tiếp dữ liệu cá nhân trên chuỗi khối, chỉ lưu trữ khi dữ liệu cá nhân đã được mã hóa hoặc lưu trữ giá trị băm của dữ liệu cá nhân;

c) Chỉ áp dụng các thuật toán mã hóa, thuật toán băm đảm bảo an toàn, không bị phá vỡ;

đ) Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

e) Thực hiện đánh giá tác động bảo vệ dữ liệu cá nhân trước khi triển khai công nghệ chuỗi khối, đặc biệt nếu có khả năng ảnh hưởng nghiêm trọng đến quyền chủ thể dữ liệu cá nhân.

Điều 12. Bảo vệ dữ liệu cá nhân trong điện toán đám mây

1. Các cơ quan, tổ chức, cá nhân có liên quan cần áp dụng các biện pháp kỹ thuật và tổ chức để ngăn chặn dữ liệu cá nhân bị truy cập trái phép khi triển khai dịch vụ điện toán đám mây.

2. Các tổ chức, cá nhân ký kết hợp đồng có liên quan tới xử lý dữ liệu cá nhân với các tổ chức cung cấp dịch vụ điện toán đám mây có trách nhiệm như sau:

a) Nêu rõ trong nội dung hợp đồng về việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân; chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;

b) Xác định rõ luồng xử lý dữ liệu cá nhân, vai trò các bên trong hoạt động cung cấp dịch vụ điện toán đám mây và trách nhiệm tương ứng;

c) Có yêu cầu về các biện pháp bảo mật, kỹ thuật, tổ chức và được nêu rõ trong hợp đồng;

d) Thông báo ngay lập tức cho các bên liên quan bất kỳ sự thay đổi nào có thể ảnh hưởng tới dữ liệu cá nhân;

đ) Tuân thủ thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân;

e) Bảo đảm thực hiện các quyền của chủ thể dữ liệu cá nhân;

g) Thực hiện đầy đủ các biện pháp kỹ thuật để bảo đảm quyền truy cập dữ liệu được phân cấp một cách hợp lý.

3. Các tổ chức cung cấp dịch vụ điện toán đám mây:

a) Chấp hành các quy định về bảo vệ dữ liệu cá nhân của Việt Nam, cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân, chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;

b) Đề nghị các nhà thầu phụ thực hiện các quy định và nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định của pháp luật;

c) Áp dụng các biện pháp kỹ thuật và tổ chức ở mức phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của mình.

4. Dữ liệu cá nhân trên điện toán đám mây phải được mã hoá ở trạng thái nghỉ và truyền, kèm theo phân quyền truy cập nghiêm ngặt.

Điều 13. Điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

1. Việc chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân phải được thực hiện bằng văn bản chính thức của cơ quan, tổ chức đó; thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức đó.

2. Nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:

a) Có trình độ đại học trở lên;

b) Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp đại học) liên quan đến một trong các lĩnh vực: pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, quản lý tuân thủ;

c) Có chứng nhận hoàn thành khóa học bồi dưỡng kiến thức, kỹ năng cơ bản về bảo vệ dữ liệu cá nhân do tổ chức đủ năng lực đào tạo tại Việt Nam cấp;

d) Đạt trình độ theo chương trình đánh giá chuyên môn bảo vệ dữ liệu cá nhân của Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân;

đ) Am hiểu quy định pháp luật về bảo vệ dữ liệu cá nhân và hoạt động xử lý dữ liệu cá nhân của cơ quan, tổ chức.

3. Trường hợp cơ quan, tổ chức thành lập bộ phận bảo vệ dữ liệu cá nhân, các nhân sự trong bộ phận phải đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều này.

4. Cơ quan, tổ chức chịu trách nhiệm lựa chọn, đánh giá, bảo đảm nhân sự bảo vệ dữ liệu cá nhân đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều này; không bố trí những người có tiền án trong lĩnh vực dữ liệu, công nghệ thông tin, mạng viễn thông làm nhân sự bảo vệ dữ liệu cá nhân.

5. Cơ quan, tổ chức ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân, có thể thỏa thuận về các trường hợp miễn trừ trách nhiệm khi xảy ra vi phạm hoặc thiệt hại đối với dữ liệu cá nhân được bảo vệ.

Điều 14. Nhiệm vụ của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

1. Nhân sự bảo vệ dữ liệu cá nhân có nhiệm vụ như sau:

a) Tổ chức xây dựng chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân;

b) Tổ chức triển khai thực hiện các quyền của chủ thể dữ liệu cá nhân;

c) Định kỳ đánh giá thực trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân và đề xuất các biện pháp kiểm soát rủi ro;

d) Thực hiện lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, đánh giá tác động xử lý dữ liệu cá nhân, tiếp nhận và báo cáo vi phạm về bảo vệ dữ liệu cá nhân và thực hiện các yêu cầu khác của cơ quan có thẩm quyền theo quy định; 

đ) Tham gia các chương trình, khóa học đào tạo, bồi dưỡng về bảo vệ dữ liệu cá nhân;

e) Tổ chức triển khai thực hiện các biện pháp kỹ thuật bảo mật dữ liệu cá nhân, tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân, kế hoạch ứng cứu khẩn cấp sự cố bảo vệ dữ liệu cá nhân.

2. Bộ phận bảo vệ dữ liệu cá nhân có chức năng, nhiệm vụ như sau:

a) Tổ chức xây dựng chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân;

b) Tổ chức triển khai thực hiện các quyền của chủ thể dữ liệu cá nhân;

c) Định kỳ đánh giá thực trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân và đề xuất các biện pháp kiểm soát rủi ro;

d) Thực hiện lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, đánh giá tác động xử lý dữ liệu cá nhân, tiếp nhận và báo cáo vi phạm về bảo vệ dữ liệu cá nhân và thực hiện các yêu cầu khác của cơ quan có thẩm quyền theo quy định; 

đ) Xây dựng kế hoạch và triển khai phổ biến, đào tạo định kỳ về bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức;

e) Tổ chức triển khai thực hiện các biện pháp kỹ thuật bảo mật dữ liệu cá nhân, tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân, kế hoạch ứng cứu khẩn cấp sự cố bảo vệ dữ liệu cá nhân.

g) Nghiên cứu và đề xuất các quyết định liên quan đến bảo vệ dữ liệu dữ liệu cá nhân.

Điều 15. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân

1. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân là người đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều này, được cơ quan, tổ chức thuê làm nhân sự bảo vệ dữ liệu cá nhân.

2. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải đáp ứng đủ các điều kiện năng lực như sau:

a) Có trình độ đại học trở lên;

b) Có ít nhất 05 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp đại học) liên quan đến một trong các lĩnh vực: pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, quản lý tuân thủ;

c) Có chứng nhận hoàn thành khóa học bồi dưỡng kiến thức, kỹ năng chuyên sâu về bảo vệ dữ liệu cá nhân do tổ chức đủ năng lực đào tạo tại Việt Nam cấp;

d) Đạt trình độ theo chương trình đánh giá chuyên môn bảo vệ dữ liệu cá nhân của Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân;

đ) Am hiểu quy định pháp luật về bảo vệ dữ liệu cá nhân và hoạt động xử lý dữ liệu cá nhân của cơ quan, tổ chức;

đ) Không có tiền án trong lĩnh vực dữ liệu, công nghệ thông tin, mạng viễn thông.

3. Cơ quan, tổ chức có nhu cầu thuê cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân tiến hành xem xét điều kiện năng lực theo khoản 2 Điều này, ký hợp đồng sử dụng nhân sự bảo vệ dữ liệu cá nhân; công khai thông tin về nhân sự bảo vệ dữ liệu cá nhân đó cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.

4. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân có trách nhiệm:

a) Thực hiện dịch vụ theo đúng phạm vi và nhiệm vụ trong hợp đồng, thỏa thuận;

b) Không lợi dụng việc cung cấp dịch vụ để thực hiện các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

c) Thực hiện xóa, hủy dữ liệu cá nhân xử lý trong quá trình cung cấp dịch vụ sau khi đã hoàn thành hợp đồng và theo quy định pháp luật.

Điều 16. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân

1. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân:

a) Là tổ chức, tổ chức có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý được cơ quan, tổ chức thuê để tư vấn việc tuân thủ quy định bảo vệ dữ liệu cá nhân và thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân theo thỏa thuận;

b) Có tối thiểu 03 nhân sự đáp ứng đủ các điều kiện năng lực theo khoản 2 Điều 15 Nghị định này;

c) Đã cung cấp các sản phẩm, dịch vụ liên quan đến bảo mật, an ninh mạng, công nghệ thông tin, đánh giá tiêu chuẩn, tư vấn về bảo vệ dữ liệu cá nhân;

2. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải xây dựng hồ sơ năng lực chứng minh khả năng bảo vệ dữ liệu cá nhân và cung cấp cho cơ quan, tổ chức có nhu cầu sử dụng dịch vụ. Hồ sơ phải thể hiện ngành nghề, lĩnh vực kinh doanh; quy mô, phạm vi, kinh nghiệm cung cấp dịch vụ; chính sách cung cấp dịch vụ; tiêu chuẩn, trình độ, năng lực nhân sự; các văn bản, giấy tờ minh chứng có liên quan.

3. Cơ quan, tổ chức có nhu cầu thuê dịch vụ bảo vệ dữ liệu cá nhân tiến hành xem xét hồ sơ năng lực, ký hợp đồng sử dụng dịch vụ và thỏa thuận xử lý dữ liệu cá nhân với tổ chức bảo vệ dữ liệu cá nhân; công khai thông tin về tổ chức bảo vệ dữ liệu cá nhân đó cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.

4. Cơ quan, tổ chức tùy theo nhu cầu có thể đồng thời chỉ định nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân và thuê dịch vụ bảo vệ dữ liệu cá nhân.

5. Căn cứ vào thỏa thuận với cơ quan, tổ chức thuê dịch vụ bảo vệ dữ liệu cá nhân, tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân thực hiện các nhiệm vụ của bộ phận bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức đó.

6. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân có trách nhiệm:

a) Thực hiện dịch vụ theo đúng phạm vi và nhiệm vụ trong hợp đồng, thỏa thuận;

b) Không lợi dụng việc cung cấp dịch vụ để thực hiện các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

c) Thực hiện xóa, hủy dữ liệu cá nhân xử lý trong quá trình cung cấp dịch vụ sau khi đã hoàn thành hợp đồng và theo quy định pháp luật.

Điều 17. Tổ chức đủ năng lực đào tạo về bảo vệ dữ liệu cá nhân

1. Tổ chức đủ năng lực đào tạo về bảo vệ dữ liệu cá nhân là tổ chức đào tạo bồi dưỡng kiến thức, kỹ năng cơ bản và chuyên sâu về bảo vệ dữ liệu cá nhân, đáp ứng các điều kiện sau đây:

a) Được thành lập theo quy định của pháp luật và có chức năng hoạt động trong lĩnh vực đào tạo;

b) Luôn có ít nhất 01 giảng viên thuộc biên chế chính thức (viên chức hoặc lao động ký hợp đồng từ 12 tháng trở lên) và đáp ứng năng lực quy định tại khoản 2 Điều này;

Trong trường hợp cần thiết, tổ chức có thể thuê giảng viên có năng lực đáp ứng quy định tại khoản 2 Điều này hoặc giảng viên là cán bộ từ cơ quan quản lý nhà nước trong lĩnh vực chuyên môn liên quan;

c) Công khai chương trình đào tạo chi tiết đáp ứng nội dung quy định tại khoản 3 Điều này;

d) Bảo đảm cơ sở vật chất, trang thiết bị đáp ứng yêu cầu tổ chức khóa đào tạo;

e) Gửi báo cáo bằng văn bản đến Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân về việc đáp ứng điều kiện, yêu cầu trước khi tổ chức đào tạo.

2. Yêu cầu năng lực đối với giảng viên:

a) Có trình độ tốt nghiệp đại học trở lên;

b) Có chuyên môn phù hợp với lĩnh vực đào tạo;

c) Có ít nhất 05 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp đại học) liên quan đến một trong các lĩnh vực: pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, quản lý tuân thủ;

d) Đã tham gia chương trình tập huấn chuyên môn đào tạo về bảo vệ dữ liệu cá nhân do Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân tổ chức.

3. Yêu cầu về xây dựng chương trình đào tạo:

a) Nội dung chương trình đào tạo phải đảm bảo phù hợp với quy định pháp luật về bảo vệ dữ liệu cá nhân, kết hợp giữa lý thuyết và thực hành, đánh giá được năng lực pháp lý, công nghệ bảo vệ dữ liệu cá nhân của người học;

b) Thời lượng khóa học bồi dưỡng kiến thức, kỹ năng cơ bản về bảo vệ dữ liệu cá nhân tối thiểu là 01 (một) ngày; thời lượng khóa học bồi dưỡng kiến thức, kỹ năng chuyên sâu về bảo vệ dữ liệu cá nhân tối thiểu là 03 (ba) ngày;

c) Đánh giá cuối khóa để cấp chứng nhận theo hình thức do tổ chức đào tạo quyết định, kết quả phải đạt từ 70% trở lên;

d) Chứng nhận có giá trị trong vòng 02 (hai) năm kể từ ngày cấp.

4. Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân phối hợp với các tổ chức xã hội - nghề nghiệp có liên quan xây dựng chương trình đánh giá chuyên môn bảo vệ dữ liệu cá nhân; tổ chức kiểm tra, đánh giá và xác nhận trình độ cho cá nhân đã được chứng nhận hoàn thành khóa học bồi dưỡng kiến thức, kỹ năng cơ bản hoặc kiến thức, kỹ năng chuyên sâu về bảo vệ dữ liệu cá nhân còn giá trị tại thời điểm đánh giá.

5. Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân phối hợp với các tổ chức xã hội - nghề nghiệp có liên quan tổ chức chương trình tập huấn chuyên môn đào tạo về bảo vệ dữ liệu cá nhân cho cá nhân có nhu cầu giảng dạy về bảo vệ dữ liệu cá nhân.

Chương III

HỒ SƠ, TRÌNH TỰ, THỦ TỤC VỀ DỮ LIỆU CÁ NHÂN

Điều 18. Chuyển dữ liệu cá nhân xuyên biên giới

1. Việc chuyển dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước xuyên biên giới chỉ được thực hiện khi Bên chuyển dữ liệu cá nhân lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và thực hiện các thủ tục theo quy định tại khoản 2, 3 và 4 Điều 19 của Nghị định này. Bên chuyển dữ liệu cá nhân xuyên biên giới bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên thứ ba có liên quan đến hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

2. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định yêu cầu Bên chuyển dữ liệu xuyên biên giới ngừng chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp:

a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;

b) Bên chuyển dữ liệu xuyên biên giới không chấp hành quy định tại khoản 3, khoản 4 Điều 19 Nghị định này;

c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

3. Các trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

a) Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền;

b) Hoạt động lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức trên dịch vụ điện toán đám mây;

c) Việc chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới;

d) Hoạt động báo chí, truyền thông theo quy định của pháp luật;

đ) Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai theo quy định của pháp luật;

e) Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân xuyên biên giới để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật;

g) Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật;

h) Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực.

Điều 19. Điều kiện, trình tự, thủ tục, thành phần hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

1. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

a) Thông tin và chi tiết liên lạc của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và các bên khác có liên quan đến hoạt động chuyển dữ liệu cá nhân xuyên biên giới;

b) Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân;

c) Mô tả và luận giải mục đích chuyển dữ liệu cá nhân xuyên biên giới, loại dữ liệu cá nhân chuyển xuyên biên giới, chi tiết các hoạt động chuyển và xử lý dữ liệu cá nhân xuyên biên giới và sơ đồ luồng dữ liệu cá nhân;

d) Phương án bảo đảm an toàn dữ liệu cá nhân sau khi chuyển xuyên biên giới, các biện pháp bảo vệ dữ liệu cá nhân, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;

đ) Sơ đồ hệ thống, mô tả tính năng của hệ thống lưu trữ, xử lý dữ liệu cá nhân sau khi tiếp nhận dữ liệu cá nhân xuyên biên giới;

e) Quy trình về việc bên tiếp nhận dữ liệu cá nhân xuyên biên giới chuyển giao, cung cấp dữ liệu cá nhân cho bên thứ ba;

g) Kết quả tự đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân, tài liệu chứng minh việc đảm bảo các quyền của chủ thể dữ liệu của bên chuyển dữ liệu cá nhân;

h) Đánh giá mức độ bảo vệ dữ liệu cá nhân của Bên nhận dữ liệu cá nhân; mức độ ảnh hưởng, rủi ro của việc chuyển và xử lý dữ liệu cá nhân xuyên biên giới; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó;

i) Hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân về việc chuyển, xử lý dữ liệu cá nhân xuyên biên giới.

2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Bên chuyển dữ liệu xuyên biên giới gửi 01 bản chính hồ sơ đầy đủ nội dung, đúng biểu mẫu của Bộ Công an ban hành, hợp đồng hoặc văn bản liên quan việc thu thập, xử lý dữ liệu cá nhân tới Cơ quan chuyên trách bảo vệ dữ liệu cá nhân kèm theo Mẫu số 01a/01b tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

3. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu Bên chuyển dữ liệu xuyên biên giới hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.

4. Căn cứ tình hình cụ thể, cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc kiểm tra chuyển dữ liệu cá nhân xuyên biên giới không quá 01 lần trong năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

5. Bên chuyển dữ liệu xuyên biên giới cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Điều 21 Nghị định này.

Điều 20. Điều kiện, trình tự, thủ tục, thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân bao gồm:

a) Thông tin và chi tiết liên lạc của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân;

b) Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba;

c) Mô tả và luận giải mục đích xử lý dữ liệu cá nhân, loại dữ liệu cá nhân xử lý, chi tiết các hoạt động xử lý dữ liệu cá nhân và sơ đồ luồng dữ liệu cá nhân;

d) Phương án bảo đảm an toàn dữ liệu cá nhân, các biện pháp bảo vệ dữ liệu cá nhân, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;

đ) Sơ đồ hệ thống, mô tả tính năng của hệ thống lưu trữ, xử lý dữ liệu cá nhân;

e) Kết quả tự đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân, tài liệu chứng minh việc đảm bảo các quyền của chủ thể dữ liệu của bên chuyển dữ liệu cá nhân;

g) Đánh giá mức độ ảnh hưởng, rủi ro của hoạt động xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó;

i) Hợp đồng hoặc văn bản thỏa thuận về việc xử lý dữ liệu cá nhân, thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân trong hoạt động xử lý dữ liệu cá nhân.

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 Điều này được xác lập bằng văn bản có giá trị pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân 01 bản chính đầy đủ nội dung, đúng biểu mẫu của Bộ Công an ban hành, hợp đồng hoặc văn bản liên quan việc thu thập, xử lý dữ liệu cá nhân kèm theo Mẫu số 02a/02b tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.

5. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của Điều 21 Nghị định này.

Điều 21. Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

1. Hồ sơ chuyển dữ liệu cá nhân xuyên biên giới và hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được cập nhật định kỳ 06 tháng trong các trường hợp sau:

a) Khi phát sinh mục đích chuyển dữ liệu cá nhân mới, mục đích xử lý dữ liệu cá nhân mới;

b) Khi phát sinh hoặc thay đổi bên kiểm soát, bên kiểm soát và xử lý, bên xử lý, bên thứ ba.

2. Các trường hợp thay đổi cần cập nhật ngay trong vòng 60 ngày bao gồm:

a) Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;

b) Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;

c) Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

2. Việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện theo Mẫu số 03a/03b tại Phụ lục của Nghị định này, nộp trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Điều 22. Dịch vụ xử lý dữ liệu cá nhân

1. Dịch vụ xử lý dữ liệu cá nhân bao gồm:

a) Dịch vụ cung cấp và vận hành hệ thống, phần mềm tự động để thay mặt Bên kiểm soát, Bên kiểm soát và xử lý tiến hành xử lý dữ liệu cá nhân;

b) Dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm của chủ thể dữ liệu cá nhân;

c) Dịch vụ thu thập, xử lý dữ liệu cá nhân trực tuyến từ trang web, ứng dụng và mạng xã hội;

d) Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm và mạng xã hội để khảo sát, nghiên cứu thị trường;

đ) Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm chăm sóc sức khỏe, theo dõi sức khỏe, dịch vụ y tế;

e) Dịch vụ thu thập, xử lý dữ liệu cá nhân qua ứng dụng, phần mềm giáo dục có yếu tố giám sát như điểm danh, ghi hình, chấm điểm hành vi, nhận diện cảm xúc;

g) Dịch vụ phân tích và khai thác dữ liệu cá nhân, gồm: sử dụng các công cụ phân tích để tìm kiếm thông tin, xu hướng và mẫu từ dữ liệu cá nhân; áp dụng các phương pháp khai thác dữ liệu để trích xuất giá trị từ dữ liệu cá nhân, dự đoán hành vi người dùng hoặc tối ưu hóa dịch vụ;

h) Dịch vụ mã hóa dữ liệu cá nhân trong quá trình truyền tải và lưu trữ;

i) Dịch vụ xử lý dữ liệu cá nhân tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo;

k) Dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân.

2. Dịch vụ xử lý dữ liệu cá nhân là ngành, nghề kinh doanh có điều kiện được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân.

Điều 23. Điều kiện của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Là đơn vị sự nghiệp, tổ chức được thành lập và hoạt động theo pháp luật Việt Nam.

2. Điều kiện về nhân sự:

a) Người đứng đầu đơn vị sự nghiệp, người đại diện theo pháp luật của tổ chức là công dân Việt Nam, thường trú tại Việt Nam; có trình độ đại học trở lên, có ít nhất 03 năm kinh nghiệm công tác liên quan đến xử lý dữ liệu cá nhân, công nghệ thông tin, an ninh mạng, an ninh dữ liệu; không có tiền án trong lĩnh vực dữ liệu, công nghệ thông tin, mạng viễn thông;

b) Có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn xử lý dữ liệu cá nhân;

c) Có tối thiểu 03 nhân sự đủ điều kiện năng lực theo quy định tại khoản 2 Điều 13 Nghị định này.

Điều 24. Trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Tuân thủ đầy đủ các quy định pháp luật về bảo vệ dữ liệu cá nhân; trách nhiệm, nghĩa vụ của bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

2. Xây dựng khung quản trị rủi ro về bảo vệ dữ liệu cá nhân phù hợp với dịch vụ cung cấp.

3. Có kế hoạch đánh giá hiện trạng tuân thủ và mức độ tín nhiệm về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

4. Áp dụng tiêu chuẩn, quy chuẩn liên quan đến an ninh dữ liệu, bảo vệ dữ liệu cá nhân, an ninh mạng.

5. Xây dựng quy định về trách nhiệm và quyền hạn của tổ chức trong xử lý dữ liệu cá nhân.

6. Bảo đảm xử lý dữ liệu cá nhân đúng mục đích, giới hạn việc thu thập, chuyển giao, lưu trữ phù hợp và theo quy định pháp luật; ngăn chặn truy cập, thu thập, sử dụng, tiết lộ trái phép hoặc các rủi ro tương tự trong hoạt động xử lý dữ liệu cá nhân.

7. Trường hợp là bên xử lý dữ liệu cá nhân, tổ chức yêu cầu bên kiểm soát dữ liệu cá nhân xin sự đồng ý của chủ thể dữ liệu theo quy định trước khi cung cấp dịch vụ, bảo đảm chủ thể dữ liệu cá nhân được biết về loại dữ liệu cá nhân xử lý, mục đích xử lý và tổ chức cung cấp dịch vụ xử lý dữ liệu cá nhân. 

8. Tổ chức thực hiện việc xác thực danh tính theo quy định pháp luật về định danh và xác thực điện tử.

Điều 25. Hồ sơ, trình tự, thủ tục về việc cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm:

a) Đơn đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân;

b) Bản sao chứng thực Giấy chứng nhận đăng ký danh nghiệp;

c) Văn bản chỉ định bộ phận bảo vệ dữ liệu cá nhân hoặc hợp đồng sử dụng dịch vụ bảo vệ dữ liệu cá nhân theo quy định;

d) Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân;

đ) Kết quả hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;

e) Kết quả hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp có chuyển dữ liệu cá nhân xuyên biên giới.

g) Bằng cấp và các giấy tờ chứng minh khác.

2. Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân bao gồm các nội dung:

a) Sự cần thiết, mục tiêu;

b) Nội dung, lĩnh vực đề nghị phê duyệt;

c) Ngành nghề, lĩnh vực kinh doanh, phương án kinh doanh;

d) Quy mô hoạt động xử lý dữ liệu cá nhân dự kiến;

đ) Khung quản trị rủi ro về bảo vệ dữ liệu cá nhân;

e) Kế hoạch đánh giá hiện trạng tuân thủ và mức độ tín nhiệm về bảo vệ dữ liệu cá nhân định kỳ;

g) Việc áp dụng tiêu chuẩn, quy chuẩn liên quan đến an ninh dữ liệu, bảo vệ dữ liệu cá nhân;

h) Trách nhiệm và quyền hạn của tổ chức trong xử lý dữ liệu cá nhân;

i) Nhân sự đủ điều kiện theo quy định.

3. Trong thời gian 30 ngày làm việc, Thủ trưởng Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, xem xét, phê duyệt Hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân. Trường hợp từ chối, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông báo bằng văn bản cho tổ chức và nêu rõ lý do.

4. Thời hạn của Quyết định phê duyệt là 05 năm kể từ ngày ký ban hành. Hết thời hạn, tổ chức làm hồ sơ để được gia hạn.

Hồ sơ, thủ tục gia hạn gồm:

a) Đơn đề nghị gia hạn;

b) Biên bản kiểm tra, xác minh đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân trước thời điểm đề nghị gia hạn không quá 06 tháng;

c) Đã được xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt trước thời điểm đề nghị gia hạn không quá 06 tháng.

5. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân:

a) Khi không bảo đảm một trong các điều kiện tại khoản 1, khoản 2 Điều này;

b) Không kinh doanh dịch vụ từ 12 tháng trở lên;

c) Bị giải thể hoặc phá sản theo quy định của pháp luật;

d) Không khắc phục vi phạm về bảo vệ dữ liệu cá nhân, an toàn thông tin, an ninh mạng, an ninh dữ liệu theo yêu cầu của cơ quan nhà nước có thẩm quyền.

e) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động.

Điều 26. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

1. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân, gồm:

a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;

b) Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;

c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;

d) Mô tả biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.

2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba gửi thông báo vi phạm quy định về dữ liệu cá nhân đến cơ quan chuyên trách bảo vệ dữ liệu cá nhân hoặc qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân theo Mẫu số 04 tại Phụ lục của Nghị định này.

Điều 27. Thông báo vi phạm đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học

1. Khi xảy ra sự cố vi phạm dữ liệu cá nhân liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học, Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm:

a) Thông báo cho chủ thể dữ liệu bị ảnh hưởng trong thời hạn không quá 72 giờ kể từ thời điểm phát hiện vi phạm;

b) Báo cáo cho cơ quan nhà nước có thẩm quyền theo quy định tại Điều 26 Nghị định này;

c) Ghi nhận, lưu trữ và cập nhật hồ sơ vi phạm phục vụ công tác thanh tra, kiểm tra và xử lý. Tổ chức phải lưu hồ sơ vi phạm trong thời gian tối thiểu 5 năm kể từ ngày khắc phục xong sự cố.Thông báo cho chủ thể dữ liệu theo khoản 1 điểm a phải bao gồm tối thiểu các nội dung sau:

a) Thời điểm và hình thức phát hiện vi phạm;

b) Loại dữ liệu bị ảnh hưởng (vị trí, sinh trắc học hoặc cả hai);

c) Mức độ nghiêm trọng và các rủi ro có thể xảy ra đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu;

d) Biện pháp đã, đang và sẽ được thực hiện để khắc phục sự cố và giảm thiểu thiệt hại;

đ) Hướng dẫn chủ thể dữ liệu thực hiện các biện pháp phòng ngừa, ngăn chặn tiếp theo;

e) Thông tin liên hệ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; bộ phận tiếp nhận, xử lý sự cố dữ liệu cá nhân tại tổ chức.

2. Trường hợp tổ chức, cá nhân không thể thông báo cho tất cả chủ thể dữ liệu bị ảnh hưởng trong thời hạn nêu tại khoản 1 Điều này vì lý do kỹ thuật hoặc khẩn cấp, phải thực hiện:

a) Thông báo công khai bằng phương tiện điện tử chính thức của tổ chức qua trang thông tin điện tử, ứng dụng;

b) Gửi thông báo cá nhân hóa ngay khi điều kiện kỹ thuật cho phép.

3. Trường hợp tổ chức, cá nhân không thực hiện thông báo đúng hạn hoặc cố tình trì hoãn, né tránh nghĩa vụ thông báo sẽ bị xem xét xử lý vi phạm theo quy định của pháp luật.

Chương IV

THỰC THI CÔNG TÁC BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 28. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân

1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.

2. Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao các tỉnh, thành phố trực thuộc trung ương, có trách nhiệm giúp Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thực hiện các nhiệm vụ theo phân cấp thẩm quyền.

Điều 29. Trách nhiệm thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân

1. Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân có trách nhiệm giúp Bộ Công an thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân.

2. Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

3. Ủy ban nhân dân cấp tỉnh thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

Điều 30. Kiểm tra hoạt động bảo vệ dữ liệu cá nhân

1. Kiểm tra hoạt động bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, định kỳ, đột xuất, trong trường hợp sau đây:

a) Khi có hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

b) Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.

2. Đối tượng bảo vệ dữ liệu cá nhân bao gồm:

a) Cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân;

b) Tổ chức, cá nhân kinh doanh dịch vụ xử lý dữ liệu cá nhân;

c) Tổ chức, cá nhân phải thực hiện hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới;

d) Tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân.

3. Nội dung kiểm tra công tác bảo vệ dữ liệu cá nhân:

a) Hiện trạng tuân thủ công tác bảo vệ dữ liệu cá nhân;

b) Hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới;

c) Hoạt động chứng nhận đủ điều kiện năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân.

4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành Quyết định kiểm tra và thông báo cho đối tượng kiểm tra quy định tại khoản 2 Điều này trước 15 ngày làm việc về thời gian, nội dung và thành phần đoàn kiểm tra

5. Đối tượng được kiểm tra phải chuẩn bị đầy đủ các nội dung kiểm tra theo quy định của pháp luật.

6. Kết quả kiểm tra được bảo mật theo quy định của pháp luật.

Điều 31. Kinh phí bảo đảm

1. Kinh phí thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.

2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.

3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, tổ chức do các tổ chức, tổ chức tự bố trí và thực hiện theo quy định.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 32. Quy định miễn trừ đối với tổ chức nhỏ, tổ chức khởi nghiệp

1. Tổ chức nhỏ, tổ chức khởi nghiệp không áp dụng khoản 2 Điều 38 của Luật bao gồm các trường hợp sau:

a) Kinh doanh dịch vụ xử lý dữ liệu cá nhân theo quy định tại Điều Nghị định này;

b) Trực tiếp xử lý dữ liệu cá nhân nhạy cảm;

c) Xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên.

2. Hộ kinh doanh, tổ chức siêu nhỏ không áp dụng khoản 3 Điều 38 của Luật bao gồm các trường hợp sau:

a) Kinh doanh dịch vụ xử lý dữ liệu cá nhân theo quy định tại Điều Nghị định này;

b) Trực tiếp xử lý dữ liệu cá nhân nhạy cảm;

c) Xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 500 nghìn chủ thể dữ liệu cá nhân trở lên.

Điều 33. Sửa đổi khoản 2 Điều 16 của Nghị định số 165/2025/NĐ-CP ngày 30 tháng 6 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu

Sửa đổi khoản 2 Điều 16 như sau:

Trường hợp chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới là dữ liệu cá nhân thực hiện hồ sơ đánh giá tác động theo pháp luật về bảo vệ dữ liệu cá nhân và quản lý, bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng trong quá trình xử lý khoản 11 Điều 17 Nghị định này.

Điều 34. Hiệu lực và trách nhiệm thi hành

1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.

2. Bộ Công an chịu trách nhiệm hướng dẫn, kiểm tra, đôn đốc việc thực hiện Nghị định này.

3. Bộ trưởng các bộ, Thủ trưởng các cơ quan ngang bộ, cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này./.