Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm
Dữ liệu cá nhân gồm có: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm (là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân)
Việc bảo vệ dữ liệu cá nhân được thực hiện trên cơ sở tuân thủ 8 nguyên tắc:
1- Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
2- Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3- Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4- Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
5- Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6- Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7- Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8- Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Các biện pháp bảo vệ dữ liệu cá nhân bao gồm: Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; các biện pháp khác theo quy định của pháp luật.
Chủ thể dữ liệu cá nhân có quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại tố cáo khởi kiện, quyền yêu cầu bồi thường thiệt hại, quyền tự bảo vệ. Đồng thời, chủ thể dữ liệu cá nhân cũng có nghĩa vụ tự bảo vệ dữ liệu cá nhân của mình, tôn trọng và bảo vệ dữ liệu cá nhân của người khác, cung cấp dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân, thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân…
Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), có trách nhiệm giúp Bộ Công an thực hiện quản lý Nhà nước về bảo vệ dữ liệu cá nhân.
Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Nghị định có hiệu lực thi hành từ ngày 01/7/2023. Chi tiết tại đây: file 1; file 2; file 3.
