Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách
nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan và được
áp dụng với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước
ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước
ngoài; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên
quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Trong đó, dữ liệu cá nhân được hiểu là thông tin dưới dạng
ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi
trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con
người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản (họ và tên, ngày
tháng năm sinh, giới tính, nơi sinh, quốc tịch, hình ảnh cá nhân, số điện
thoại, số chứng minh nhân dân, căn cước công dân, số tài khoản, số định danh cá
nhân, biển số xe, mã số thuế,...) và dữ liệu cá nhân nhạy cảm (quan điểm chính
trị, tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, đặc điểm di truyền,
đời sống tình dục, dữ liệu vị trí, thông tin khách hàng của tổ chức tín
dụng,...).
Hành vi bị nghiêm cấm
Chính phủ cũng đã ban hành một số hành vi bị nghiêm cấm
trong Nghị định bảo vệ dữ liệu cá nhân, cụ thể:
1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về
bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm
chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây
ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp
pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có
thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp
luật.
Biện pháp bảo vệ dữ liệu cá nhân
Nghị định nêu rõ, biện pháp bảo vệ dữ liệu cá nhân được áp
dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
Các biện pháp bảo vệ dữ liệu cá nhân bao gồm: Biện pháp quản
lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện
pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực
hiện; biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy
định của Nghị định này và pháp luật có liên quan; biện pháp điều tra, tố tụng
do cơ quan Nhà nước có thẩm quyền thực hiện; các biện pháp khác theo quy định
của pháp luật.
Bảo vệ dữ liệu cá nhân cơ bản là áp dụng các biện pháp bảo vệ dữ liệu cá nhân nêu trên;
xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc
cần thực hiện theo quy định của Nghị định này; khuyến khích áp dụng các tiêu
chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có
liên quan tới xử lý dữ liệu cá nhân; kiểm tra an ninh mạng đối với hệ thống và
phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không
thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
Bảo vệ dữ liệu cá nhân nhạy cảm là áp dụng các biện pháp bảo vệ dữ liệu cá nhân, bảo vệ dữ
liệu cá nhân cơ bản nêu trên; chỉ định bộ phận có chức năng bảo vệ dữ liệu cá
nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin
về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách
bảo vệ dữ liệu cá nhân. Trường hợp bên kiểm soát dữ liệu cá nhân, bên kiểm soát
và xử lý dữ liệu cá nhân, bên xử lý dữ liệu, bên thứ ba là cá nhân thì cần trao
đổi thông tin của cá nhân thực hiện; thông báo cho chủ thể dữ liệu biết việc dữ
liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ một số trường hợp quy
định.
Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
Theo Nghị định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân
là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công
an), có trách nhiệm giúp Bộ Công an thực hiện quản lý Nhà nước về bảo vệ dữ
liệu cá nhân.
Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp
thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước
về bảo vệ dữ liệu cá nhân; tuyên truyền, phổ biến chính sách, pháp luật về bảo
vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp
nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không
gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá
nhân của cơ quan, tổ chức, cá nhân có liên quan.
Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá
nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo,
phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định
của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp
luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá
nhân.
Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm
2023.