Tài liệu này tổng hợp các quy định pháp luật Việt Nam liên quan đến việc bảo vệ dữ liệu cá nhân và quyền của chủ thể dữ liệu, nhằm nâng cao nhận thức và trách nhiệm của các cơ quan, tổ chức, cá nhân trong việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân.

HỎI: Dữ liệu cá nhân là gì?

TRẢ LỜI: Dữ liệu cá nhân là thông tin về một cá nhân cụ thể hoặc có thể xác định được từ thông tin đó. Dữ liệu cá nhân bao gồm dữ liệu cơ bản và dữ liệu nhạy cảm. (Điều 2, Luật Dữ liệu 2024)

HỎI: Dữ liệu cá nhân cơ bản bao gồm những thông tin nào?

TRẢ LỜI: Dữ liệu cá nhân cơ bản bao gồm các thông tin như họ tên, ngày tháng năm sinh, giới tính, quốc tịch, địa chỉ, số điện thoại, địa chỉ email, số căn cước công dân/chứng minh nhân dân, ảnh chân dung, tình trạng hôn nhân, thông tin về mối quan hệ gia đình, nghề nghiệp, chức danh và nơi làm việc. (Điều 3, Luật Dữ liệu 2024)

HỎI: Dữ liệu cá nhân nhạy cảm là gì và bao gồm những thông tin nào?

TRẢ LỜI: Dữ liệu cá nhân nhạy cảm là dữ liệu gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân. Các loại dữ liệu này bao gồm: tình trạng sức khỏe, hồ sơ y tế, thông tin di truyền, đặc điểm sinh trắc học, thông tin về đời tư được phản ánh trong hồ sơ bệnh án, thông tin về chủng tộc, sắc tộc, tôn giáo, quan điểm chính trị, khuynh hướng tình dục, lịch sử phạm tội, thông tin tài chính, vị trí địa lý của cá nhân. (Điều 3, Luật Dữ liệu 2024)

HỎI: Xử lý dữ liệu cá nhân là gì?

TRẢ LỜI: Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hoạt động khác có liên quan. (Điều 2, Luật Dữ liệu 2024)

HỎI: Nguyên tắc bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam là gì?

TRẢ LỜI: Việc xử lý dữ liệu cá nhân phải tuân thủ các nguyên tắc: hợp pháp, có mục đích rõ ràng, công khai, minh bạch, bảo mật, toàn vẹn, chính xác, đầy đủ, kịp thời, giới hạn mục đích, giới hạn thời gian lưu trữ và chỉ xử lý khi có sự đồng ý của chủ thể dữ liệu (trừ các trường hợp được pháp luật cho phép). (Điều 4, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu là ai?

TRẢ LỜI: Chủ thể dữ liệu là cá nhân mà dữ liệu cá nhân đó được thu thập, xử lý. (Điều 2, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền được biết về hoạt động xử lý dữ liệu của mình không?

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. (Điều 11, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu của mình không?

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ các trường hợp được pháp luật quy định. (Điều 12, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình không? 

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. (Điều 13, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền rút lại sự đồng ý đã cung cấp cho việc xử lý dữ liệu cá nhân không?

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền rút lại sự đồng ý đã cung cấp cho việc xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác hoặc việc rút lại sự đồng ý ảnh hưởng đến các quyền và nghĩa vụ theo hợp đồng. (Điều 14, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu cá nhân của mình không?

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu cá nhân của mình trong một số trường hợp nhất định, trừ trường hợp luật có quy định khác. (Điều 15, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình không?

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình trong một số trường hợp nhất định. (Điều 16, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền cung cấp dữ liệu cá nhân của mình cho bên thứ ba không?

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền yêu cầu cung cấp dữ liệu cá nhân của mình cho bên thứ ba, trong một số trường hợp và với điều kiện nhất định. (Điều 17, Luật Dữ liệu 2024)

HỎI: Chủ thể dữ liệu có quyền khiếu nại, tố cáo, khởi kiện đối với hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân không?

TRẢ LỜI: Có. Chủ thể dữ liệu có quyền khiếu nại, tố cáo, khởi kiện đối với hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. (Điều 18, Luật Dữ liệu 2024)

HỎI: Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ gì khi thu thập dữ liệu?

TRẢ LỜI: Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ thông báo cho chủ thể dữ liệu về mục đích xử lý, các loại dữ liệu được xử lý, thời gian lưu trữ, và các quyền của chủ thể dữ liệu trước khi thu thập, trừ các trường hợp không cần sự đồng ý theo quy định pháp luật. (Điều 20, Luật Dữ liệu 2024)

HỎI: Tổ chức, cá nhân xử lý dữ liệu cá nhân có cần xây dựng chính sách bảo vệ dữ liệu cá nhân không?

TRẢ LỜI: Có. Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ xây dựng và ban hành chính sách bảo vệ dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu của mình. (Điều 21, Luật Dữ liệu 2024)

HỎI: Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ áp dụng các biện pháp bảo mật dữ liệu không?

TRẢ LỜI: Có. Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ áp dụng các biện pháp kỹ thuật và biện pháp an ninh mạng để bảo vệ dữ liệu cá nhân, bao gồm mã hóa, kiểm soát truy cập, sao lưu dữ liệu và các biện pháp khác theo quy định. (Điều 26, Luật Dữ liệu 2024)

HỎI: Khi dữ liệu cá nhân bị xâm phạm hoặc có nguy cơ bị xâm phạm, tổ chức, cá nhân xử lý dữ liệu có nghĩa vụ gì?

TRẢ LỜI: Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ thông báo kịp thời cho cơ quan quản lý nhà nước có thẩm quyền và chủ thể dữ liệu về sự cố an ninh mạng liên quan đến dữ liệu cá nhân, đồng thời áp dụng các biện pháp khắc phục sự cố. (Điều 27, Luật Dữ liệu 2024)

HỎI: Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ định kỳ đánh giá tác động của hoạt động xử lý dữ liệu cá nhân không?

TRẢ LỜI: Có. Tổ chức, cá nhân xử lý dữ liệu cá nhân có nghĩa vụ định kỳ đánh giá tác động của hoạt động xử lý dữ liệu cá nhân để đảm bảo tuân thủ các quy định pháp luật và biện pháp bảo vệ dữ liệu. (Điều 28, Luật Dữ liệu 2024)

HỎI: Khi chuyển giao dữ liệu cá nhân ra nước ngoài, tổ chức, cá nhân có nghĩa vụ gì?

TRẢ LỜI: Khi chuyển giao dữ liệu cá nhân ra nước ngoài, tổ chức, cá nhân có nghĩa vụ đánh giá tác động chuyển giao, thông báo cho chủ thể dữ liệu và cơ quan quản lý nhà nước có thẩm quyền, đồng thời bảo đảm các biện pháp bảo vệ dữ liệu theo quy định. (Điều 29, Luật Dữ liệu 2024)

HỎI: Cơ quan nào chịu trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân?

TRẢ LỜI: Bộ Công an là cơ quan chịu trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân. (Điều 37, Luật Dữ liệu 2024)

HỎI: Việc xử lý dữ liệu cá nhân trong trường hợp khẩn cấp, bảo vệ an ninh quốc gia, trật tự xã hội có cần sự đồng ý của chủ thể dữ liệu không?

TRẢ LỜI: Trong các trường hợp đặc biệt như khẩn cấp, phục vụ bảo vệ an ninh quốc gia, trật tự an toàn xã hội, phòng, chống tội phạm hoặc để thực hiện các nghĩa vụ theo luật định, việc xử lý dữ liệu cá nhân có thể không cần sự đồng ý của chủ thể dữ liệu theo quy định của pháp luật. (Điều 12, Luật Dữ liệu 2024 và các luật chuyên ngành khác)

HỎI: Dữ liệu cá nhân của trẻ em được bảo vệ như thế nào?

TRẢ LỜI: Dữ liệu cá nhân của trẻ em được bảo vệ đặc biệt và chặt chẽ hơn. Việc xử lý dữ liệu cá nhân của trẻ em cần có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định của pháp luật. (Điều 30, Luật Dữ liệu 2024)

HỎI: Việc xử lý dữ liệu cá nhân liên quan đến bí mật nhà nước được quy định như thế nào?

TRẢ LỜI: Việc xử lý dữ liệu cá nhân có liên quan đến bí mật nhà nước phải tuân thủ nghiêm ngặt các quy định của pháp luật về bảo vệ bí mật nhà nước. (Điều 31, Luật Dữ liệu 2024)

HỎI: Hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ bị xử lý như thế nào?

TRẢ LỜI: Hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ vi phạm mà có thể bị xử phạt vi phạm hành chính, bồi thường thiệt hại, hoặc bị truy cứu trách nhiệm hình sự theo quy định của pháp luật. (Điều 38, Luật Dữ liệu 2024)

HỎI: Tổ chức, cá nhân có được phép mua bán dữ liệu cá nhân không?

TRẢ LỜI: Nghiêm cấm hành vi mua bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp pháp luật có quy định khác. Hành vi này sẽ bị xử lý nghiêm theo quy định của pháp luật. (Điều 5, Luật Dữ liệu 2024)

HỎI: Cơ quan nhà nước khi xử lý dữ liệu cá nhân có phải tuân thủ các quy định của Luật Dữ liệu không?

TRẢ LỜI: Có. Cơ quan nhà nước cũng phải tuân thủ các quy định của Luật Dữ liệu khi xử lý dữ liệu cá nhân, trừ các trường hợp đặc biệt được quy định rõ trong luật. (Điều 19, Luật Dữ liệu 2024)

HỎI: Cá nhân tự công khai dữ liệu cá nhân trên môi trường mạng có được bảo vệ không?

TRẢ LỜI: Dữ liệu cá nhân đã được cá nhân tự nguyện công khai trên môi trường mạng vẫn thuộc phạm vi bảo vệ của Luật Dữ liệu. Tuy nhiên, việc bảo vệ sẽ có những điều chỉnh phù hợp với tính chất công khai. (Điều 34, Luật Dữ liệu 2024)

HỎI: Trách nhiệm của chủ quản hệ thống thông tin trong việc bảo vệ dữ liệu cá nhân là gì?

TRẢ LỜI: Chủ quản hệ thống thông tin có trách nhiệm bảo đảm an toàn thông tin mạng đối với hệ thống của mình, bao gồm việc bảo vệ dữ liệu cá nhân được lưu trữ, xử lý trong hệ thống đó, áp dụng các biện pháp kỹ thuật và tổ chức cần thiết để ngăn chặn các hành vi xâm phạm. (Điều 20, Luật An toàn thông tin mạng 2015 và các quy định của Luật Dữ liệu 2024)

HỎI: Người dân Tuyên Quang có thể tìm hiểu thêm thông tin về bảo vệ dữ liệu cá nhân ở đâu?

TRẢ LỜI: Người dân có thể tìm hiểu thêm thông tin chi tiết về bảo vệ dữ liệu cá nhân qua Trang thông tin điện tử, fanpage của Sở Tư pháp tỉnh Tuyên Quang; Trang thông tin điện tử, fanpage Phổ biến, giáo dục pháp luật tỉnh Tuyên Quang, các văn bản quy phạm pháp luật được công bố công khai trên Cổng thông tin điện tử của Chính phủ, Bộ Công an, Bộ Thông tin và Truyền thông, và tham gia các chương trình tuyên truyền, phổ biến pháp luật về an toàn thông tin, bảo vệ dữ liệu cá nhân do các cơ quan chức năng tổ chức.