「개인정보 보호에 관한 의정」
• 국가‧지역: 베트남 • 법률번호: 제13/2023/NĐ-CP호 • 제정일: 2023년 4월 17일 • 시 행 일: 2023년 7월 1일
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019; Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015; Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004; Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018; Theo đề nghị của Bộ trưởng Bộ Công an; Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân. 2015년 6월 19일 「정부조직법」, 2019년 11월 22일 「정부조직법 및 지방정부조직법의 일부 조항 개정·보완법」에 의거하여 2015년 11월 24일 「민사법전」에 의거하여 2004년 12월 3일 「국가안보법」에 의거하여 2018년 6월 12일 「사이버보안법」에 의거하여 공안부장관의 요청에 따라 정부는 「개인정보 보호에 관한 의정」을 공포한다.
1. Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. 2. Nghị định này áp dụng đối với: a) Cơ quan, tổ chức, cá nhân Việt Nam; b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau: 1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. 2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể. 3. Dữ liệu cá nhân cơ bản bao gồm: a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; c) Giới tính; d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; đ) Quốc tịch; e) Hình ảnh của cá nhân; g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; h) Tình trạng hôn nhân; i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái); k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này. 4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: a) Quan điểm chính trị, quan điểm tôn giáo; b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết. 5. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. 6. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. 7. Xử lý dữ liệu cá nhân là hoạt động hoặc các hoạt động có tác động đến dữ liệu cá nhân, bao gồm việc thu thập, ghi chép, phân tích, xác minh, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, chuyển giao, cung cấp, chuyển nhượng, xóa, hủy bỏ hoặc các hành động liên quan khác. 8. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. 9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. 10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu. 11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân. 13. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác. 14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật. 2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. 4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác. 5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý. 6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. 7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác. 8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Chính phủ thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân gồm: 1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. 2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân. 3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân. 5. Xây dựng, đào tạo, bồi dưỡng cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân. 6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền. 8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
Việc bảo vệ dữ liệu cá nhân được thực hiện theo quy định các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên, các quy định khác của Luật có liên quan và Nghị định này.
1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân. 2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân. 3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân. 4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân. 5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. 3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. 4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. 5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
1. Quyền được biết Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 2. Quyền đồng ý Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này. 3. Quyền truy cập Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 4. Quyền rút lại sự đồng ý Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. 5. Quyền xóa dữ liệu Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 6. Quyền hạn chế xử lý dữ liệu a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác; b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. 7. Quyền cung cấp dữ liệu Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 8. Quyền phản đối xử lý dữ liệu a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. 9. Quyền khiếu nại, tố cáo, khởi kiện Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật. 10. Quyền yêu cầu bồi thường thiệt hại Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. 11. Quyền tự bảo vệ Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình. 2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác. 3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân. 4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân. 5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. 2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: a) Loại dữ liệu cá nhân được xử lý; b) Mục đích xử lý dữ liệu cá nhân; c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; d) Các quyền, nghĩa vụ của chủ thể dữ liệu. 3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. 4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. 5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. 7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. 8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. 9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. 10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. 11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý. 2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý. 4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân. 2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: a) Mục đích xử lý; b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; c) Cách thức xử lý; d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu. 3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau: a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình. 2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân: a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác; b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác. 3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác. 4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp: a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác; c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân. 5. Hình thức yêu cầu cung cấp dữ liệu cá nhân: a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân. Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân. Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân; b) Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01, 02 tại Phụ lục của Nghị định này qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. 6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây: a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có); b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu; c) Hình thức cung cấp dữ liệu cá nhân; d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân. 7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan. 8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân: a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu; b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân. 9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
1. Chủ thể dữ liệu có các quyền sau: a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác; b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình. 2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể từ khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu. 3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau: 1. Các trường hợp yêu cầu xóa dữ liệu cá nhân: a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật; đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật. 2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp: a) Pháp luật quy định không cho phép xóa dữ liệu; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật; c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật; d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật; đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật; e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác. 3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật. 4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật. 5. Việc xóa dữ liệu: Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác. 6. Bảo vệ và lưu trữ dữ liệu cá nhân: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật. 7. Trường hợp không thể khôi phục và xóa dữ liệu: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục trong trường hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý; b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba; c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này. 2. Việc công khai dữ liệu cá nhân theo quy định của luật. 3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật. 4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật. 5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Nghị định này. 2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. 2. Việc xử lý dữ liệu cá nhân của trẻ em: Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em. 3. Ngừng xử lý và xóa dữ liệu cá nhân của trẻ em: Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác; b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác; c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu. 2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm. 3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này.
1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình. 2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
1. Trường hợp phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân: Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. 2. Bên Xử lý dữ liệu cá nhân phải thông báo: Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. 3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân; c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân; d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân. 4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn. 5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm. 6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau: a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân; b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật; c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng; d) Trường hợp khác theo quy định của pháp luật.
1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. c) Mục đích xử lý dữ liệu cá nhân; d) Các loại dữ liệu cá nhân được xử lý; đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam; e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài; g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có); h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. 2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân; c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân; d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có); đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài; e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. 3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân. 4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. 5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. 6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này.
1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba. 2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm: a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh; h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân. 3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. 4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công. 5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. 6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu. 7. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam. 8. Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp: a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam; b) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này; c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. 2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện. đ) Các biện pháp khác theo quy định của pháp luật.
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này. 2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này. 3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. 4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này. 2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. 3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này.
1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. 2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; b) Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan; e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
1. Lực lượng bảo vệ dữ liệu cá nhân: a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân; b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân; c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân; d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân. 2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân. 3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
1. Nguồn tài chính thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác. 2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước. 3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. 2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng. 3. Xây dựng, quản lý, vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. 4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. 5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này. 6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân. 7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này. 2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao. 3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân. 2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành. 4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành. 5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. 2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành. 4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết. 2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân. 3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này. 4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp. 5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này. 6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân. 2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân. 3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan. 4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu. 6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này.
1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp. 2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này. 3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân. 4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023. 2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp. 3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này. 2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương chịu trách nhiệm thi hành Nghị định này TM. CHÍNH PHỦ KT. THỦ TƯỚNG PHÓ THỦ TƯỚNG Trần Lưu Quang
「개인정보 보호에 관한 의정」
• 국가‧지역: 베트남 • 법률번호: 제13/2023/NĐ-CP호 • 제정일: 2023년 4월 17일 • 시 행 일: 2023년 7월 1일
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019; Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015; Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004; Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018; Theo đề nghị của Bộ trưởng Bộ Công an; Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân. 2015년 6월 19일 「정부조직법」, 2019년 11월 22일 「정부조직법 및 지방정부조직법의 일부 조항 개정·보완법」에 의거하여 2015년 11월 24일 「민사법전」에 의거하여 2004년 12월 3일 「국가안보법」에 의거하여 2018년 6월 12일 「사이버보안법」에 의거하여 공안부장관의 요청에 따라 정부는 「개인정보 보호에 관한 의정」을 공포한다.
1. 이 의정은 개인정보 보호 및 관련 기관, 단체, 개인의 개인정보 보호 책임에 대하여 규정한다. 2. 이 의정은 다음 각 호의 어느 하나에 해당하는 대상에게 적용한다. a) 베트남 기관, 단체 및 개인 b) 베트남에 있는 외국 기관, 단체 및 외국인 c) 해외에서 활동하는 베트남 기관, 단체 및 개인 d) 베트남 내 개인정보 처리 활동에 직접 참여하거나 이와 관련된 외국 기관, 단체 및 외국인
이 의정에서 사용하는 용어의 뜻은 다음 각 호와 같다. 1. "개인정보"란 특정 개인과 연관되거나 특정 개인을 알아볼 수 있는 전자적 환경에서의 기호, 문자, 숫자, 이미지, 음성 또는 이와 유사한 형태의 정보를 말한다. 개인정보는 기본적인 개인정보와 민감한 개인정보를 포함한다. 2. "특정 개인을 알아볼 수 있는 정보"란 개인의 활동에서 형성된 정보로서 그 밖에 저장된 정보·데이터와 결합하면 특정 개인을 알아볼 수 있는 정보를 말한다. 3. 기본적인 개인정보는 다음과 같다. a) 출생신고 성명, 다른 이름(있는 경우에 한함) b) 생년월일, 사망 또는 실종 연월일 c) 성별 d) 출생지, 출생신고 주소지, 상시거주지, 임시거주지, 현주소, 고향, 연락처 đ) 국적 e) 개인 사진 g) 전화번호, 주민등록번호, 개인식별번호, 여권 번호, 운전면허증 번호, 차량 번호, 개인납세자번호, 사회보험증 번호, 의료보험증 번호 h) 혼인상태 i) 가족관계(부모, 자녀)에 관한 정보 k) 개인 디지털 계정에 관한 정보, 사이버 공간에서의 활동 및 활동 내역을 반영하는 개인정보 l) 특정 개인과 연관되거나 특정 개인을 알아볼 수 있는, 이 조 제4항 규정에 명시되어 있지 아니한 그 밖의 정보 4. "민감한 개인정보"**란 개인의 사생활권과 관련된 개인정보로서 침해당한 경우 개인의 합법적인 권리와 이익에 직접적인 영향을 미치게 되며 다음 각 호를 포함한 정보를 말한다. a) 정치적 견해, 종교적 견해 b) 혈액형 정보를 제외한 병리기록지에 기재된 건강상태 및 사생활 c) 인종적 기원, 민족적 기원에 관한 정보 d) 개인의 유전적 또는 후천적 특징에 관한 정보 đ) 개인의 신체적 특징과 생물학적 특성에 관한 정보 e) 개인의 성생활 및 성적 지향에 관한 정보 g) 법집행기관이 수집하고 저장한 범죄기록 및 범죄 행위에 관한 정보 h) 신용기관, 외국은행 지점, 결제중개서비스제공업체 및 그 밖의 허용된 단체의 고객정보: 법률 규정에 따른 고객식별정보, 계좌정보, 예금정보, 담보자산 정보, 거래정보 및 신용기관, 외국은행 지점, 결제중개서비스제공업체의 보증인인 단체·개인에 관한 정보 i) 위치추적 서비스를 통하여 확인된 개인의 위치에 관한 정보 k) 그 밖에 법률 규정에 따라 특수하고 보안 조치가 필요한 개인정보 5. "개인정보 보호"란 법률 규정에 따라 개인정보와 관련된 위반행위를 예방, 적발, 차단 및 처분하는 활동을 말한다. 6. "정보주체"란 개인정보에 반영되는 개인을 말한다. 7. "개인정보의 처리"란 개인정보에 영향을 미치는 하나 또는 그 이상의 활동으로서 개인정보의 수집, 기록, 분석, 확인, 저장, 정정, 공개, 결합, 접속, 출력, 철회, 암호화, 해독, 복제, 공유, 전송, 제공, 이전, 삭제, 파기 또는 그 밖의 관련 행위를 말한다. 8. "정보주체의 동의"란 정보주체가 개인정보의 처리를 허락하는 것에 대한 명확하고 자발적이며 확실한 의사표현을 말한다. 9. "개인정보관리자"란 개인정보 처리 목적과 수단을 결정하는 단체 및 개인을 말한다. 10 "개인정보처리자"란 정보관리자와의 계약 또는 협의를 통하여 정보관리자를 대신하여 정보를 처리하는 단체 및 개인을 말한다. 11. "개인정보관리·처리자"란 개인정보의 목적, 수단을 결정하면서 직접 처리하는 단체 및 개인을 말한다. 12. "제3자"란 정보주체, 개인정보관리자, 개인정보처리자 및 개인정보관리·처리자를 제외한, 개인정보 처리가 허용된 단체 및 개인을 말한다. 13. "개인정보의 자동 처리"란 특정 개인의 습관, 취미, 신뢰성, 행위, 위치, 경향, 능력 및 그 밖의 상황과 같은 활동을 평가, 분석 및 예측하기 위하여 전자적 수단으로 실행되는 개인정보 처리 방식을 말한다. 14. "개인정보의 국외 이전"이란 베트남 국민의 개인정보를 베트남 사회주의공화국 영토 밖의 장소로 이전하기 위하여 사이버 공간, 장비, 전자적 수단 또는 그 밖의 방법을 사용하거나, 베트남 국민의 개인정보를 처리하기 위하여 베트남 사회주의공화국 영토 밖의 장소를 이용하는 활동을 말하며, 다음 각 호를 포함한다. a) 단체, 기업 및 개인이 정보주체가 동의한 목적에 맞게 베트남 국민의 개인정보를 처리하기 위하여 해외에 있는 단체, 기업 및 관리 부서에 이전함. b) 정보주체가 동의한 목적에 맞게 개인정보관리자, 개인정보관리·처리자, 개인정보처리자의 베트남 사회주의공화국 영토 밖에 위치한 자동화 시스템을 통하여 베트남 국민의 개인정보를 처리함.
1. 개인정보는 법률 규정에 따라 처리된다. 2. 법률상 그 밖의 규정이 있는 경우를 제외하고, 정보주체는 자신의 개인정보 처리 활동에 관한 정보를 제공받는다. 3. 개인정보는 개인정보관리자, 개인정보처리자, 개인정보관리·처리자 및 제3자가 등록하고 공지한 개인정보 처리 목적으로만 처리된다. 4. 수집된 개인정보는 처리 범위 내에서 제한되고 목적에 부합하여야 한다. 법률상 그 밖의 규정이 있는 경우를 제외하고, 개인정보는 어떠한 형태로든 구매하거나 판매하여서는 아니 된다. 5. 개인정보는 처리 목적에 따라 업데이트되고 보완된다. 6. 개인정보는 처리 과정에서 보호 및 보안 조치를 적용받는다. 이는 개인정보 보호 규정 위반행위로부터 보호, 사고 및 기술적 조치 적용으로 인한 손실, 파괴 및 피해 예방·방지를 포함한다. 7. 법률상 그 밖의 규정이 있는 경우를 제외하고, 개인정보는 정보 처리 목적에 따라 적절한 기간 동안 저장된다. 8. 개인정보관리자, 개인정보관리·처리자는 이 조 제1항부터 제7항까지의 정보 처리 원칙을 준수하고 해당 정보 처리 원칙을 준수하였음을 입증할 책임이 있다.
개인정보 보호에 관한 규정을 위반한 기관, 단체 및 개인은 위반 정도에 따라 규정에 의한 징계, 행정처분 또는 형사처벌을 받을 수 있다.
정부는 개인정보 보호에 대한 국가관리를 통일시킨다. 개인정보 보호에 대한 국가관리의 내용은 다음과 같다: 1. 권한에 따라 개인정보 보호에 관한 법률문서를 공포하거나 주무관청에 이를 공포하도록 제안하며, 법의 시행을 지도하고 조직한다. 2. 개인정보 보호에 관한 전략, 정책, 계획안, 프로젝트, 프로그램 및 계획을 수립하고 실행한다. 3. 기관, 단체 및 개인에게 법률 규정에 따른 개인정보 보호 조치, 절차 및 기준을 안내한다. 4. 개인정보 보호에 관한 법률을 홍보하고 교육하며, 개인정보를 보호하기 위한 지식과 기술을 전파하고 보급한다. 5. 간부, 공무원, 공직자 및 개인정보 보호 업무수행자를 개발, 훈련 및 육성한다. 개인정보 보호에 관한 법률 규정의 이행을 점검하고 감사하며, 법률 규정에 따라 개인정보 6. 보호에 관한 이의신청, 고소를 해결하고 법률 위반행위를 처분한다. 7. 개인정보 보호 현황 및 개인정보 보호에 관한 법률 시행에 관한 통계를 실시하고 주무관청에 정보를 제공하고 보고한다. 8. 개인정보 보호에 관한 국제협력을 실행한다.
개인정보 보호는 베트남 사회주의공화국이 체약국인 국제조약의 규정, 그 밖의 관련 법률 및 이 의정 규정에 따라 이행한다.
1. 개인정보 보호에 관한 법률의 효과적인 시행 여건을 조성하기 위하여 국제협력 메커니즘을 구축한다. 2. 개인정보를 보호하기 위하여 적절한 보호 조치, 통지, 이의신청 요청, 조사 지원 및 정보 교환을 포함하여 다른 국가의 개인정보 보호에 관한 사법공조에 참여한다. 3. 개인정보를 보호하기 위하여 컨퍼런스, 세미나, 과학연구 회의를 개최하고 법 집행에 있어 국제협력 활동을 촉진한다. 4. 양자·다자 회담을 개최하고, 개인정보 보호를 위한 법률제정 및 실무경험을 교환한다. 5. 개인정보 보호를 위한 기술이전을 실시한다.
1. 개인정보 보호에 관한 법률 규정과 다르게 개인정보를 처리하는 행위 2. 베트남 사회주의공화국에 반하는 정보 및 데이터를 생성하기 위하여 개인정보를 처리하는 행위 3. 국가안보, 사회질서 및 안전, 다른 단체·개인의 합법적인 권리와 이익에 영향을 미치는 정보 및 데이터를 생성하기 위하여 개인정보를 처리하는 행위 4. 주무관청의 개인정보 보호 활동을 방해하는 행위 5. 개인정보 보호 활동을 이용하여 법률을 위반하는 행위
1. 알권리 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체는 자신의 개인정보 처리 활동에 관한 정보에 대하여 알 권리를 가진다. 2. 동의권 정보주체는 이 의정 제17조에 규정된 경우를 제외하고, 자신의 개인정보 처리에 동의하거나 동의하지 아니할 권리를 가진다. 3. 접근권 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체는 자신의 개인정보를 열람·정정하거나 정정을 요청하기 위하여 접근할 권리를 가진다. 4. 동의 철회권 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체는 동의를 철회할 권리를 가진다. 5. 정보 삭제권 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체는 자신의 개인정보를 삭제하거나 삭제를 요청할 권리를 가진다. 6. 정보 처리 제한권 a) 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체는 자신의 개인정보 처리 제한을 요청할 권리를 가진다. b) 법률상 별도의 규정이 있는 경우를 제외하고, 정보처리의 제한은 정보주체의 요청이 접수된 후 72시간 이내에 이루어지며, 정보주체가 요청한 모든 개인정보는 제한된다. 7. 정보를 제공받을 권리 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체는 개인정보처리자, 개인정보관리·처리자에게 자신의 개인정보 제공을 요청할 권리를 가진다. 8 정보처리 반대권 a) 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체는 개인정보의 공개를 차단하거나 광고 및 마케팅 목적을 위한 사용을 제한하기 위하여 개인정보관리자, 개인정보관리·처리자에게 자신의 개인정보 처리에 대한 반대권을 행사할 수 있다. b) 법률상 별도의 규정이 있는 경우를 제외하고, 개인정보관리자, 개인정보관리·처리자는 정보주체의 요청을 접수받은 후 72시간 이내에 처리한다. 9. 이의신청, 고소 및 소 제기 권리 정보주체는 법률 규정에 따라 이의신청, 고소 및 소송을 제기할 권리를 가진다. 10. 손해배상 청구권 법률상 별도의 규정이 있는 경우 또는 당사자 간에 별도의 합의가 있는 경우를 제외하고, 정보주체는 자신의 개인정보 보호와 관련하여 규정 위반행위가 발생한 경우 법률 규정에 따라 손해배상을 청구할 권리를 가진다. 11. 자기방어권 정보주체는 이 의정, 「민사법전」 및 그 밖의 관련 법률 규정에 따라 자신을 보호하거나 「민사법전」 제11조 규정에 따라 관할 기관, 단체에 민사권 보호 조치의 이행을 요구할 권리를 가진다.
1. 자신의 개인정보를 자체적으로 보호하고 그 밖의 관련 단체 및 개인에게 자신의 개인정보 보호를 요청한다. 2. 다른 사람의 개인정보를 존중하고 보호한다. 3. 개인정보 처리에 동의할 때 온전하고 정확한 개인정보를 제공한다. 4. 개인정보 보호 역량증진의 홍보 및 보급에 참여한다. 5. 개인정보 보호에 관한 법률 규정을 이행하고 개인정보 보호에 관한 규정 위반행위 예방·방지에 참여한다.
1. 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체의 동의는 개인정보 처리 과정의 모든 활동에 적용된다. 2. 정보주체의 동의는 정보주체가 자발적인 의사결정에 의하고 다음 각 호를 명확하게 알고 있는 경우에만 유효하다. a) 처리 대상이 되는 개인정보의 유형 b) 개인정보 처리 목적 c) 개인정보의 처리가 허용된 단체 및 개인 d) 정보주체의 권리와 의무 3. 정보주체의 동의는 서면, 음성, 동의란 체크 표시, 문자 메시지를 통한 동의 문구, 기술적 설정에 의한 동의항목 선택 또는 이를 나타낼 수 있는 그 밖의 행동으로 명확하고 구체적으로 표현되어야 한다. 4. 동의는 동일한 목적으로 이루어져야 한다. 하나 이상의 목적이 있는 경우, 개인정보관리자 및 개인정보관리·처리자는 정보주체가 명시된 목적 중 하나 또는 그 이상의 항목에 동의할 수 있도록 나열하여야 한다. 5. 정보주체의 동의는 전자적 또는 검증 가능한 형태를 포함하여 서면으로 인쇄·복사할 수 있는 형태로 표현되어야 한다. 6. 정보주체의 침묵 또는 무응답은 동의로 보지 아니한다. 7. 정보주체는 부분적 또는 조건부 동의를 할 수 있다. 8. 민감한 개인정보의 처리와 관련하여 정보주체가 해당 정보가 민감한 개인정보인 것을 알 수 있도록 알려야 한다. 9. 정보주체의 동의는 정보주체가 달리 결정하거나 주무관청이 서면으로 요청할 때까지 유효하다. 10. 분쟁이 발생할 경우 정보주체의 동의를 입증할 책임은 개인정보관리자 및 개인정보관리·처리자에게 귀속된다. 11. 정보주체가 이 조 제3항 규정에 따라 개인정보 처리에 대하여 명확하게 인지하고 동의한 경우, 단체 및 개인은 「민사법전」 규정에 따른 권한 위임을 통하여 정보주체를 대신하여 개인정보관리자, 개인정보관리·처리자에 대한 절차를 이행할 수 있다. 다만, 법률상 그 밖의 규정이 있는 경우는 제외한다.
1. 동의 철회는 동의 철회 이전에 이미 동의한 정보 처리의 적법성에 영향을 미치지 아니한다. 2. 동의 철회는 전자적 또는 검증 가능한 형태를 포함하여 서면으로 인쇄·복사할 수 있는 형태로 표현되어야 한다. 3. 개인정보관리자, 개인정보관리·처리자는 정보주체의 동의 철회 요청을 받은 경우 동의 철회로 인하여 발생할 수 있는 악영향과 손해를 정보주체에게 알려야 한다. 4. 정보관리자, 정보처리자, 정보관리·처리자 및 제3자는 이 조 제2항 규정을 이행한 후 동의를 철회한 정보주체의 정보 처리를 정지하고 관련 단체 및 개인에게 정보 처리를 정지하도록 요청하여야 한다.
1. 통지는 개인정보 처리를 진행하기 전에 1회로 이루어진다. 2. 정보주체에게 통지할 개인정보 처리에 관한 내용은 다음과 같다: a) 처리 목적 b) 이 조 제2항제a호에 규정된 처리 목적에 따라 사용되는 개인정보의 유형 c) 처리 방식 d) 이 조 제2항제a호에 규정된 처리 목적과 관련된 그 밖의 단체 및 개인에 관한 정보 đ) 발생할 수 있는 악영향 및 피해 e) 정보 처리 시작일 및 종료일 3. 정보주체에게로의 통지는 전자적 또는 검증 가능한 형식을 포함하여 서면으로 인쇄·복사할 수 있는 형태로 표현되어야 한다. 4. 개인정보관리자, 개인정보관리·처리자는 다음 각 호의 경우에 이 조 제1항 규정을 이행할 필요가 없다: a) 정보주체는 개인정보관리자, 개인정보관리·처리자가 이 의정 제9조 규정에 따라 개인정보를 수집하도록 동의하기 전에 이 조 제1항과 제2항에 규정된 모든 내용을 명확히 인지하고 이에 온전히 동의한 경우 b) 개인정보는 법률 규정에 따라 국가기관의 활동을 위한 목적으로 주무관청에 의하여 처리되는 경우
1. 정보주체는 개인정보관리자, 개인정보관리·처리자에게 자신의 개인정보 제공을 요청할 수 있다. 2. 개인정보관리자, 개인정보관리·처리자는 다음 각 호의 권리를 행사한다: a) 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체의 동의를 받은 경우 정보주체의 개인정보를 다른 단체·개인에게 제공할 수 있다. b) 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체가 대리 및 위임을 수락하는 경우 정보주체를 대신하여 다른 단체·개인에게 정보주체의 개인정보를 제공할 수 있다. 3. 법률상 별도의 규정이 있는 경우를 제외하고, 정보주체의 개인정보 제공은 정보주체가 요청한 후 72시간 이내에 개인정보관리자, 개인정보관리·처리자에 의하여 이행된다. 4. 개인정보관리자, 개인정보관리·처리자는 다음 각 호의 경우 개인정보를 제공하지 아니한다: a) 국방, 국가안보, 사회질서 및 안전에 해를 끼치는 행위를 하는 경우 b) 정보주체의 개인정보를 제공함으로써 다른 사람의 안전, 신체적 또는 정신적 건강에 영향을 미칠 수 있는 경우 c) 정보주체가 개인정보의 제공, 수신 대리 또는 위임에 동의하지 아니하는 경우 5. 개인정보 제공 요청 형식은 다음 각 호와 같다: a) 정보주체는 개인정보처리자, 개인정보관리·처리자의 본사를 직접 방문하거나 다른 사람에게 위임하여 개인정보의 제공을 요청한다. 요청을 받은 사람은 요청한 단체·개인이 개인정보 제공 신청서를 작성하도록 안내할 책임이 있다. 정보의 제공을 요청하는 단체·개인이 문맹이거나 장애로 인하여 신청서를 작성할 수 없는 경우, 정보의 요청을 받은 사람은 개인정보 제공 신청서의 내용 작성을 지원할 책임이 있다. b) 전자네트워크, 우편 서비스, 팩스를 통하여 이 의정 부록 제1호, 제2호 서식에 따른 개인정보 제공 신청서를 개인정보관리자, 개인정보관리·처리자에게 발송한다. 6. 개인정보 제공 신청서는 베트남어로 작성되어야 하며 다음 각 호의 주요 내용을 포함하여야 한다: a) 신청자의 성명, 거주지, 주소, 주민등록증 번호, 신분증 또는 여권 번호, 팩스번호, 전화번호, 전자우편 주소(있는 경우에 한함) b) 제공 요청의 대상이 되는 개인정보. 이에 문서, 자료, 서류의 명칭을 명확하게 기재한다. c) 개인정보 제공 형태 d) 개인정보 제공 신청 사유 및 목적 7. 이 조 제2항에 규정된 개인정보의 제공을 요청하는 경우, 관련 단체·개인의 서면 동의서가 동반되어야 한다. 8. 개인정보 제공 신청서의 접수는 다음 각 호와 같이 이행한다: a) 개인정보관리자, 개인정보관리·처리자는 개인정보의 제공 요청을 받고, 요청에 따라 개인정보 제공 과정 및 목록을 지속적으로 점검할 책임이 있다. b) 요청된 개인정보가 해당 관할권에 속하지 아니하는 경우, 요청을 받은 개인정보관리자 및 개인정보관리·처리자는 요청한 단체·개인에게 관할 주무관청을 안내하거나 개인정보의 제공이 불가능함을 명확하게 통지하여야 한다. 9. 개인정보 제공 요청의 처리는 다음과 같이 이행한다. 개인정보 제공에 대한 적격한 요청을 받은 후 개인정보를 제공할 책임이 있는 개인정보관리자, 개인정보관리·처리자는 개인정보 제공 기간, 위치 및 형식, 인쇄·촬영·복제 및 우편서비스·팩스를 통한 정보 전송(있는 경우에 한함)을 위한 실제 비용, 결제 방법과 기한에 대하여 통지하고 이 조에 규정된 순서와 절차에 따라 개인정보를 제공한다.
1. 정보주체: 정보주체는 다음 각 호의 권리를 행사한다: a) 법률상 별도의 규정이 있는 경우를 제외하고, 개인정보관리자, 개인정보관리·처리자가 동의에 따라 개인정보를 수집한 후에도 이를 열람하고 정정할 수 있다. b) 기술적 또는 그 밖의 사유로 직접적인 정정이 불가능한 경우, 정보주체는 개인정보관리자, 개인정보관리·처리자에게 자신의 개인정보 정정을 요청할 수 있다. 개인정보관리자, 개인정보관리·처리자는 정보주체의 동의를 받은 후 가능한 한 정보주체의 개인정보를 즉시 정정하거나 관계 법률의 규정에 따라 이행한다. 이를 이행할 수 없는 경우, 정보주체의 개인정보 정정 요청을 받은 후 72시간 이내에 정보주체에게 이를 통보한다. 개인정보처리자 및 제3자는 개인정보관리자 및 개인정보관리·처리자로부터 서면 동의를 받고 정보주체의 동의를 받았다는 사실을 명확히 인지한 후 정보주체의 개인정보를 정정할 수 있다.
1. 정보주체는 다음 각 호의 경우에 해당할 때 개인정보관리자와 개인정보관리·처리자에게 자신의 개인정보 삭제를 요청할 수 있다. 1. 개인정보 삭제 요구 사항: a) 이미 동의한 수집 목적에 더 이상 필요하지 아니하다고 판단하고, 정보 삭제 요청 시 발생할 수 있는 손해를 감당할 수 있는 경우 b) 동의를 철회하는 경우 c) 정보 처리에 반대하고 개인정보관리자, 개인정보관리·처리자가 계속 처리할 정당한 이유가 없는 경우 d) 동의한 목적과 다르게 개인정보가 처리되거나 개인정보의 처리가 법률을 위반하는 경우 đ) 법률 규정에 따라 개인정보가 삭제되어야 하는 경우 2. 정보주체의 요청에 따라 개인정보 삭제가 적용되지 않는 경우: a) 법률상 정보 삭제를 허용하지 아니하는 경우 b) 법률 규정에 따라 국가기관의 활동을 위한 목적으로 개인정보가 관할 국가기관에 의하여 처리되는 경우 c) 법률 규정에 따라 개인정보가 공개된 경우 d) 법률 규정에 따라 법적 요구사항, 과학적 연구 및 통계를 위하여 개인정보가 처리되는 경우 đ) 국방·국가안보·사회질서 및 안전·중대한 재난·위험한 전염병에 관한 긴급상황, 국방 및 안보에 대한 위협이 가해질 우려가 있으나 비상사태를 선포할 정도는 아닌 경우, 폭동·테러 예방·방지, 범죄 및 법률 위반 예방·방지의 경우 e) 정보주체 또는 다른 개인의 생명, 건강 또는 안전을 위협하는 긴급 상황에 대응하는 경우 3. 기업이 존속분할·소멸분할·흡수합병·신설합병 또는 해산되는 경우, 개인정보는 법률 규정에 따라 이전된다. 4. 기관, 단체, 행정단위의 존속분할·소멸분할·신설합병·조직개편, 공기업의 소유형태 전환의 경우, 개인정보는 법률 규정에 따라 이전된다. 5. 데이터 삭제: 법률상 별도의 규정이 있는 경우를 제외하고, 정보의 삭제는 개인정보관리자, 개인정보관리·처리자가 수집한 모든 개인정보에 대하여 정보주체가 요청한 후 72시간 이내에 진행된다. 6. 개인정보 보호 및 저장: 개인정보관리자, 개인정보관리·처리자, 개인정보처리자 및 제3자는 법률 규정에 따라 개인정보를 자신의 활동에 적합한 방식으로 저장하고 개인정보 보호 조치를 갖추어야 한다. 7. 복구 불가능한 데이터 삭제: 개인정보관리자, 개인정보관리·처리자, 개인정보처리자 및 제3자는 다음 각 호의 경우 정보를 복구 불가능하게 삭제한다: a) 목적과 다르게 정보가 처리되거나 정보주체가 동의한 개인정보 처리 목적이 달성된 경우 b) 개인정보관리자, 개인정보관리·처리자, 개인정보처리자 및 제3자의 활동에 개인정보 저장이 더 이상 필요하지 아니하게 된 경우 c) 개인정보관리자, 개인정보관리·처리자, 개인정보처리자 및 제3자가 해산 또는 운영중단 또는 파산 선언 또는 법률 규정에 따라 사업 운영이 종료된 경우
1. 정보주체 또는 다른 사람의 생명과 건강을 보호하기 위하여 해당 개인정보를 긴급히 처리하여야 하는 경우. 다만, 해당 경우에 개인정보관리자, 개인정보관리·처리자, 개인정보처리자 및 제3자는 이를 입증할 책임이 있다. 2. 법률 규정에 따라 개인정보를 공개하여야 하는 경우 3. 국방·국가안보·사회질서 및 안전·중대한 재난·위험한 전염병에 관한 긴급상황, 국방 및 안보에 대한 위협이 가해질 우려가 있으나 비상사태를 선포할 정도는 아닌 경우 및 폭동·테러 예방·방지, 범죄 및 법률위반 예방·방지를 위하여 주무관청이 정보를 처리하여야 하는 경우 4. 법률 규정에 따라 관련 기관, 단체 및 개인과의 정보주체의 계약상 의무를 이행하는 경우 5. 관계법률 규정에 따라 국가기관의 활동을 위한 경우
관할 기관 및 단체는 국가안보, 사회질서 및 안전, 단체·개인의 합법적인 권리와 이익을 보호할 목적으로 주체의 동의 없이 법률 규정에 따라 공공장소에서 녹음·녹화할 수 있으며 이러한 녹음·녹화 활동을 통하여 수집된 개인정보를 처리할 수 있다. 법률상 그 밖의 규정이 있는 경우를 제외하고, 관할 기관 및 단체는 녹음·녹화할 때 주체에게 자신이 녹음·녹화되고 있다는 사실을 알 수 있도록 고지할 책임이 있다.
1. 실종선고를 받은 자, 사망자의 개인정보를 처리하려면 해당 사람의 배우자 또는 성년 자녀의 동의를 받아야 한다. 해당하는 사람이 없는 경우에는 실종선고를 받은 자, 사망자 부모의 동의를 받아야 한다. 다만, 이 의정 제17조 및 제18조에 규정된 경우는 제외한다. 2. 이 조 제1항에 규정된 해당하는 사람이 없는 경우 동의가 없는 것으로 본다.
1. 아동의 개인정보 처리는 아동의 권리를 보호하고 이익을 최대한 보장하는 원칙에 따라 진행한다. 2. 아동의 개인정보 처리: 이 의정 제17조에 규정된 경우를 제외하고, 만 7세 이상 아동의 개인정보를 처리하려면 법률 규정에 따라 해당 아동의 동의를 받아야 하며, 해당 아동의 부모 또는 보호자의 동의 또한 받아야 한다. 개인정보관리자, 개인정보관리·처리자, 개인정보처리자 및 제3자는 개인정보를 처리하기 전에 아동의 연령을 미리 확인하여야 한다. 3. 아동의 개인정보 처리 중지 및 삭제: 다음 각 호의 경우에 해당할 때 아동의 개인정보 처리를 정지하고, 아동의 개인정보를 복구 불가능하게 삭제하거나 파기하여야 한다: a) 법률상 별도의 규정이 있는 경우를 제외하고, 목적과 다르게 정보가 처리되거나 정보주체가 동의한 개인정보 처리 목적이 달성된 경우 b) 법률상 별도의 규정이 있는 경우를 제외하고, 아동의 부모 또는 보호자가 아동의 개인정보 처리에 대한 동의를 철회한 경우 c) 법률상 별도의 규정이 있는 경우를 제외하고, 개인정보의 처리가 아동의 합법적인 권리와 이익에 영향을 미칠 수 있다는 것을 입증할 충분한 증거가 있을 때 주무관청의 요청에 따른 경우
1. 광고상품 홍보·마케팅 서비스업에 종사하는 단체 및 개인은 광고상품 홍보·마케팅 서비스 제공을 위하여 정보주체의 동의를 받은 경우에만 영업 활동을 통하여 수집된 고객의 개인정보를 사용할 수 있다. 2. 광고상품 홍보·마케팅 서비스 제공을 위하여 고객의 개인정보 처리 시 고객이 상품 소개 내용, 방법, 형태 및 빈도를 명확히 알고 있다는 전제하에 고객의 동의를 받아야 한다. 3. 광고상품 홍보·마케팅 서비스업에 종사하는 단체 및 개인은 상품 소개를 위하여 고객의 개인정보가 이 조 제1항 및 제2항 규정에 맞게 사용되었음을 입증할 책임이 있다.
1. 개인정보 처리와 관련된 단체 및 개인은 자신의 시스템, 서비스 장비에서의 개인정보 불법 수집을 방지하기 위하여 개인정보 보호 조치를 취하여야 한다. 2. 정보주체의 동의 없이 개인정보를 수집, 전송 및 매매하기 위하여 소프트웨어 시스템, 기술적 조치를 설치하거나 활동을 조직하는 것은 법률 위반행위이다.
1. 개인정보 보호 규정 위반 발견 시: 개인정보 보호 규정 위반이 적발된 경우, 개인정보관리자, 개인정보관리·처리자는 위반행위가 발생한 후 72시간 이내에 이 의정 부록 제3호 서식에 따라 공안부(사이버보안 및 첨단기술이용범죄방지국)에 즉시 통보하여야 한다. 72시간 경과 후 통보하는 경우 지연 사유를 기재하여야 한다. 2. 개인정보처리자 통보 의무: 개인정보처리자는 개인정보 보호에 관한 규정 위반 사실을 인지한 후 개인정보관리자에게 최대한 빨리 알려야 한다. 3. 개인정보 보호 규정 위반 통보 내용: a) 개인정보 보호에 관한 규정 위반행위의 성격 설명. 이러한 설명은 시간, 위치, 행위, 조직, 개인, 개인정보 유형 및 관련 데이터 용량을 포함한다. b) 정보 보호 담당자 또는 개인정보를 보호할 책임이 있는 단체·개인의 연락처 c) 개인정보 보호에 관한 규정 위반으로 인하여 발생할 수 있는 악영향과 피해 설명 d) 개인정보 보호에 관한 규정 위반으로 인한 피해를 해결 및 최소화하기 위하여 취하는 조치 설명 4. 이 조 제3항에 규정된 내용을 온전히 통보할 수 없는 경우, 통보는 회차별·단계별로 이행할 수 있다. 5. 개인정보관리자, 개인정보관리·처리자는 개인정보 보호에 관한 규정 위반 발생 사실을 확인하는 문서를 작성하며 위반행위를 처분하도록 공안부(사이버보안 및 첨단기술이용범죄방지국)와 협조하여야 한다. 6. 단체 및 개인은 다음 각 호의 경우를 적발할 때 공안부(사이버보안 및 첨단기술이용범죄방지국)에 통보하여야 한다: a) 개인정보에 관한 법률 위반행위를 적발한 경우 b) 개인정보가 정보주체와 개인정보관리자, 개인정보관리·처리자 간의 기존 합의사항 또는 목적과 다르게 처리되거나 법률 위반행위가 발생한 경우 c) 정보주체의 권리가 보장되지 아니하거나 제대로 이행되지 아니하는 경우 d) 그 밖의 법률 규정에 따른 경우
1. 개인정보관리자, 개인정보관리·처리자는 개인정보의 처리가 시작되는 시점부터 개인정보 처리 영향평가 서류를 작성하고 보관한다. 개인정보관리자, 개인정보관리·처리자의 개인정보 처리 영향평가 서류는 다음 각 호를 포함한다: a) 개인정보관리자, 개인정보관리·처리자의 정보 및 연락처 b) 개인정보 보호 업무를 할당받는 단체 및 개인정보관리자, 개인정보관리·처리자의 개인정보 보호 책임자의 성명, 연락처 c) 개인정보 처리 목적 d) 처리되는 개인정보의 유형 đ) 베트남 영토 밖의 단체 및 개인을 포함하는, 개인정보를 이전받는 단체 및 개인 e) 개인정보를 국외로 이전하는 경우 g) 개인정보 처리 기간, 개인정보 삭제·파기 예정 시일(있는 경우에 한함) h) 적용되는 개인정보 보호 조치 개요 i) 개인정보 처리의 영향평가 내용, 발생할 수 있는 악영향과 피해, 이러한 위험과 피해 최소화 또는 제거 조치 2. 개인정보처리자는 개인정보관리자와의 계약 이행 시 개인정보 처리 영향평가 서류를 작성하고 보관하여야 한다. 개인정보처리자의 개인정보 처리 영향평가 서류는 다음 각 호를 포함한다: a) 개인정보처리자의 정보 및 연락처 b) 개인정보 처리 업무를 할당받은 단체 또는 개인정보처리자의 처리 실무자의 성명, 연락처 c) 개인정보관리자와의 계약에 따른 처리 활동 및 처리되는 개인정보의 유형에 관한 설명 d) 개인정보 처리 기간, 개인정보 삭제·파기 예정 시일(있는 경우에 한함) đ) 개인정보를 국외로 이전하는 경우 e) 적용되는 개인정보 보호 조치 개요 g) 발생할 수 있는 악영향과 피해, 이러한 위험과 피해 최소화 또는 제거 조치 3. 이 조 제1항과 제2항에 규정된 개인정보 처리 영향평가 서류는 개인정보관리자, 개인정보관리·처리자 또는 개인정보처리자에 의하여 법적 효력이 있는 서면으로 작성된다. 4. 개인정보 처리 영향평가 서류는 공안부의 점검 및 평가 활동을 위하여 항상 준비되어 있어야 하며, 개인정보 처리일부터 60일 이내에 이 의정 부록 제4호 서식에 따른 문서 원본 1부를 공안부(사이버보안 및 첨단기술이용범죄방지국)에 제출하여야 한다. 5. 공안부(사이버보안 및 첨단기술이용범죄방지국)는 개인정보 처리 영향평가 서류를 검토하며, 서류가 미비하거나 규정에 부합하지 아니하는 경우 개인정보관리자, 개인정보관리·처리자 및 개인정보처리자에게 서류 보완을 요청한다. 6. 개인정보관리자, 개인정보관리·처리자 및 개인정보처리자는 공안부(사이버보안 및 첨단기술이용범죄방지국)에 이미 제출한 개인정보 처리 영향평가 서류의 내용을 변경하려는 경우 이 의정 부록 제5호 서식에 따라 서류에 정정사항을 반영하고 보완한다.
1. 개인정보를 국외로 이전하는 당사자는 개인정보의 국외 이전 영향평가 서류를 작성하고 이 조 제1항, 제4항과 제5항에 규정된 절차를 이행하면 베트남 국민의 개인정보를 국외로 이전할 수 있다. 개인정보를 국외로 이전하는 당사자는 개인정보관리자, 개인정보관리·처리자, 개인정보처리자 및 제3자를 포함한다. 2. 개인정보의 국외 이전 영향평가 서류는 다음을 포함한다: a) 베트남 국민의 개인정보를 이전하는 자와 이전받는 자의 정보, 연락처 b) 베트남 국민의 개인정보 이전 및 수신에 관하여 정보를 이전하는 당사자의 담당 단체 및 개인의 성명, 연락처 c) 국외 이전 후 베트남 국민의 개인정보 처리 활동 목적에 관한 설명 및 해석 d) 국외로 이전되는 개인정보의 유형 설명 및 해석 đ) 이 의정에 규정된 개인정보 보호 규정 준수 여부 설명 및 해석, 적용되는 개인정보 보호 조치에 관한 상세한 설명 e) 개인정보 처리의 영향평가 내용, 발생할 수 있는 악영향과 피해, 이러한 위험과 피해 최소화 또는 제거 조치 g) 사고 또는 요청 사항 발생 시 정보주체가 피드백 및 이의신청 메커니즘을 명확히 인지하였음을 전제하에 이 의정 제11조에 규정된 바에 따라 동의한다는 내용 h) 개인정보 처리와 관련하여 베트남 국민의 개인정보를 이전 및 수신하는 단체와 개인 간의 구속력과 책임을 나타내는 문서 3. 개인정보의 국외 이전 영향평가 서류는 공안부의 점검 및 평가 활동을 위하여 항상 준비되어 있어야 한다. 정보를 국외로 이전하는 당사자는 개인정보 처리일부터 60일 이내에 이 의정 부록 제6호 서식에 따른 문서 원본 1부를 공안부(사이버보안 및 첨단기술이용범죄방지국)에 제출하여야 한다. 4. 정보를 이전하는 당사자는 정보의 이전이 성공적으로 이루어진 후 공안부(사이버보안 및 첨단기술이용범죄방지국)에 정보이전에 관한 정보 및 담당 단체·개인의 연락처를 서면으로 통보하여야 한다. 5. 공안부(사이버보안 및 첨단기술이용범죄방지국)는 개인정보의 국외 이전 영향평가 서류를 검토하며, 서류가 미비하거나 규정에 부합하지 아니하는 경우 정보를 국외로 이전하는 당사자에게 서류 보완을 요청한다. 6. 정보를 국외로 이전하는 당사자는 공안부(사이버보안 및 첨단기술이용범죄방지국)에 이미 제출한 개인정보의 국외 이전 영향평가 서류의 내용을 변경하려는 경우 이 의정 부록 제5호 서식에 따라 서류에 정정사항을 반영하고 보완한다. 정보를 국외로 이전하는 당사자의 서류 보완 기간은 요청일부터 10일로 한다. 7. 공안부는 특정 상황에 따라 개인정보의 국외 이전을 연 1회 점검하기로 결정한다. 다만, 이 의정에 규정된 개인정보 보호 규정 위반행위가 적발된 경우 또는 베트남 국민의 개인정보 유출·분실 사고가 발생한 경우는 제외한다. 8. 공안부는 다음 각 호의 경우에 해당할 때 정보를 국외로 이전하는 당사자에게 개인정보의 국외 이전을 중지하도록 요청하기로 결정한다: a) 이전 대상이 되는 개인정보가 베트남 사회주의공화국의 국익과 안보를 침해하는 활동에 사용되는 것이 적발된 경우 b) 정보를 국외로 이전하는 당사자가 이 조 제5항과 제6항 규정을 준수하지 아니한 경우 c) 베트남 국민의 개인정보 유출·분실 사고가 발생한 경우
1. 개인정보 보호 조치는 개인정보 처리 시작부터 전 과정에 걸쳐 적용된다. 2. 개인정보 보호 조치는 다음 각 호와 같다: a) 개인정보 처리와 관련된 단체 및 개인이 이행하는 관리 조치 b) 개인정보 처리와 관련된 단체 및 개인이 이행하는 기술적 조치 c) 이 의정 및 관련 법률 규정에 따라 주무관청이 이행하는 조치 d) 주무관청이 이행하는 조사 및 법적 절차 조치 đ) 법률 규정에 따른 그 밖의 조치
1. 이 의정 제26조 제2항에 규정된 조치를 취한다. 2. 개인정보 보호에 관한 규정을 제정하고 공포하며, 이 의정 규정에 따라 이행하여야 할 업무를 명확히 규정한다. 3. 개인정보 처리와 관련된 분야·업종·활동에 적합한 개인정보 보호 기준의 적용을 장려한다. 4. 개인정보가 포함된 장치를 처리하기 전에, 복구 불가능하게 삭제하거나 파기할 수 있도록 개인정보 처리 시스템 및 장비의 사이버 보안을 점검한다.
1. 이 의정 제26조 제2항 및 제27조에 규정된 조치를 취한다. 2. 개인정보 보호 업무를 담당하는 부서 및 개인정보 보호 담당자를 지정하고, 개인정보 보호 전문기관에 개인정보 보호 담당 부서 및 개인에 관한 정보를 공유한다. 개인정보 관리자, 개인정보 관리·처리자, 정보 처리자 및 제3자가 개인인 경우 해당 개인의 정보를 공유한다. 3. 이 의정 제13조 제4항, 제17조 및 제18조에 규정된 경우를 제외하고, 정보주체에게 자신의 민감한 개인정보가 처리되고 있음을 고지한다.
1. 개인정보 보호 전문기관은 공안부 사이버보안 및 첨단기술이용범죄방지국이며, 공안부가 개인정보 보호에 대한 국가관리를 수행하도록 보좌하는 역할을 한다. 2. 개인정보 보호에 관한 국가포털의 역할은 다음 각 호와 같다. a) 개인정보 보호에 관한 당(黨)의 방침, 방향, 정책 및 국가 법률에 관한 정보 제공 b) 개인정보 보호에 관한 정책 및 법률 홍보 및 보급 c) 개인정보 보호에 관한 정보 및 현황 업데이트 d) 사이버 공간을 통한 개인정보 보호 활동에 관한 정보, 서류 및 데이터 접수 đ) 관련 기관, 단체 및 개인의 개인정보 보호 업무 평가 결과에 관한 정보 제공 e) 개인정보 보호 규정에 관한 위반행위 제보 접수 g) 법률 규정에 따른 개인정보 침해 위험과 행위 경고 및 경고 협조 h) 법률 규정에 따른 개인정보 보호에 관한 위반 처분 i) 개인정보 보호에 관한 법률 규정에 따라 그 밖의 활동 수행
1. 개인정보 보호 인력은 다음 각 호와 같다. a) 개인정보 보호 전문기관에서 배치된 개인정보 보호 전담인력 b) 개인정보 보호에 관한 규정의 이행을 보장하기 위하여 기관, 단체, 기업에서 지정된 개인정보 보호 담당 부서 및 인력 c) 개인정보 보호를 위하여 동원된 단체 및 개인 d) 공안부가 개인정보 보호 인력을 개발하기 위한 구체적인 프로그램과 계획을 수립한다. 2. 기관, 단체 및 개인은 기관, 단체 및 개인에게 개인정보 보호에 관한 지식·기술 홍보, 보급 및 인식 증진을 실시할 책임이 있다. 3. 개인정보 보호 전문기관의 부대시설 및 운영 조건을 보장한다.
1. 개인정보 보호를 위한 자금 출처는 국가 예산, 국내외 기관, 단체 및 개인의 지원금, 개인정보 보호 서비스 제공을 통하여 발생한 수입원, 국제 원조 및 그 밖의 합법적인 수입원을 포함한다. 2. 국가기관의 개인정보 보호를 위한 자금은 국가예산으로써 확보되며, 연간 국가예산안에서 편성된다. 국가예산의 자금 관리 및 사용은 국가예산에 관한 법률 규정에 따라 이행한다. 3. 단체 및 기업의 개인정보를 보호하기 위한 자금은 규정에 따라 단체 및 기업이 자체적으로 편성하고 이행한다.
1. 정부가 개인정보 보호에 대한 국가 관리를 통합하도록 지원한다. 2. 개인정보 보호 활동을 지도하고 실행하며, 개인정보 보호 법규 위반 행위로부터 정보주체의 권리를 보호하고, 개인정보 보호 기준 및 적용 권고 사항 제정을 제안한다. 3. 개인정보 보호에 관한 국가 포털을 구축, 관리 및 운영한다. 4. 관련 기관, 단체 및 개인의 개인정보 보호 업무 수행 결과를 평가한다. 5. 이 의정 규정에 따라 개인정보 보호에 관한 문서, 양식 및 정보를 접수받는다. 6. 개인정보 보호 분야의 혁신을 위한 방안을 추진하고 연구를 수행하며, 개인정보 보호에 관한 국제 협력을 실행한다. 7. 법률 규정에 따라 개인정보 보호 규정 위반 행위를 점검·감사하고, 이의신청, 고소를 해결하며 처분한다.
1. 방송통신사, 언론사, 관리 분야에 속하는 단체 및 기업이 이 의정의 규정에 따라 개인정보를 보호하도록 지도한다. 2. 배정된 임무·기능에 따라 개인정보 보호 조치를 개발·안내 및 실행하고, 방송통신 활동에 있어 개인정보에 대한 사이버정보 보안을 보장한다. 3. 개인정보 보호에 관한 법률 위반행위를 점검, 감사 및 처분하도록 공안부와 협조한다.
법률 규정 및 배정된 임무·기능에 따라 국방부의 관리 분야에 속하는 기관, 단체 및 개인에 대하여 관리·점검·감사·감독 및 위반처분을 실시하고 개인정보 보호에 관한 규정을 적용한다.
1. 개인정보 보호 기준 및 개인정보 보호 기준 적용 권고사항을 제정하도록 공안부와 협조한다. 2. 과학기술 발전에 발맞춰 개인정보 보호 대책에 대하여 연구하고 공안부와 논의한다.
1. 개인정보 보호에 관한 법률 규정에 따라 관리 부문·분야의 개인정보 보호에 대한 국가관리를 수행한다. 2. 이 의정에 규정된 개인정보 보호의 내용과 임무를 개발하고 전개한다. 3. 부처의 임무를 개발·이행하면서 개인정보 보호에 관한 규정을 추가한다. 4. 할당된 예산한도에 따라 개인정보 보호 활동을 위한 자금을 마련한다. 5. 개인정보 보호 규정에 부합한 공개 정보 목록을 공표한다.
1. 개인정보 보호에 관한 법률 규정에 따라 관리 부문·분야의 개인정보 보호에 대한 국가관리를 수행한다. 2. 이 의정의 개인정보 보호에 관한 규정을 전개한다. 3. 할당된 예산한도에 따라 개인정보 보호 활동을 위한 자금을 마련한다. 4. 개인정보 보호 규정에 부합한 공개 정보 목록을 공표한다.
1. 정보 처리 활동이 개인정보 보호에 관한 법률 규정에 맞게 수행되었음을 입증하기 위하여 적절한 조직적·기술적 조치와 안전·보안 조치를 취하고, 필요한 경우 해당 조치를 점검하고 업데이트한다. 2. 개인정보 처리 시스템의 작동 이력을 기록하고 저장한다. 3. 이 의정 제23조에 규정된 개인정보 보호 규정 위반행위를 신고한다. 4. 명확한 임무에 부합한 개인정보처리자를 선정하고 적절한 보호 조치를 보유한 개인정보처리자와 협력한다. 5. 이 의정 제9조 규정에 따라 정보주체의 권리를 보장한다. 6. 개인정보관리자는 정보주체에게 개인정보 처리 과정에서 발생한 손해에 대한 책임을 진다. 7. 개인정보 보호에 있어 공안부, 주무관청과 협력하고, 개인정보 보호에 관한 법률 규정 위반행위를 조사하고 처분하는 데 필요한 정보를 제공한다.
1. 개인정보관리자와 정보 처리에 관한 계약서 또는 합의서를 체결한 후에만 개인정보를 수신한다. 2. 개인정보관리자와 체결한 계약서 또는 합의서에 따라 개인정보를 처리한다. 3. 이 의정 및 그 밖의 관련 법률문서의 규정에 따라 개인정보 보호 조치를 온전히 이행한다4. 개인정보처리자는 정보주체에게 개인정보 처리 과정에서 발생한 손해에 대한 책임을 진다. 5. 개인정보 처리가 완료된 후 모든 개인정보를 삭제하고 개인정보관리자에게 반환한다. 6. 개인정보 보호에 있어 공안부 주무관청과 협력하고, 개인정보 보호에 관한 법률 규정 위반행위를 조사하고 처리하는 데 필요한 정보를 제공한다.
개인정보관리자와 개인정보처리자의 책임에 관한 규정을 온전히 이행하여야 한다.
이 의정에 규정된 개인정보 처리 책임에 관한 규정을 온전히 이행하여야 한다.
1. 자신의 개인정보를 보호하기 위한 조치를 취하고 자신이 제공하는 개인정보의 정확성에 대한 책임을 진다. 2. 이 의정의 개인정보 보호에 관한 규정을 이행한다. 3. 개인정보 보호 활동과 관련된 위반사항을 공안부에 적시에 통보한다. 4. 개인정보 보호 활동과 관련된 위반사항을 처분하도록 공안부와 협조한다.
1. 이 의정은 2023년 7월 1일부터 시행한다. 2. 영세기업, 중소기업 및 창업기업은 기업설립 후 최초 2년 이내에 개인정보 보호 담당 부서 및 개인 지정에 관한 규정의 적용 면제를 선택할 권리를 가진다. 3. 개인정보 처리 활동에 직접 종사하는 영세기업, 중소기업 및 창업기업은 이 조 제2항 규정의 적용 대상에 해당하지 아니한다.
1. 공안부장관은 이 의정의 시행을 촉구, 점검 및 지도한다. 2. 각 부 장관, 부급기관 및 정부기관의 장, 성·중앙직할시 인민위원회 위원장은 이 의정을 시행할 책임이 있다. 정부 대신 정부 총리 대리 서명 부총리 쩐 르우 꽝