Bên kiểm soát
Định nghĩa
  • Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân
Trách nhiệm thực hiện
  • Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết
  • Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân
  • Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân
  • Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp
  • Bảo đảm các quyền của chủ thể dữ liệu
  • Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân
Bên xử lý
Định nghĩa
  • Là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu
Trách nhiệm thực hiện
  • Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân
  • Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân
  • Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan
  • Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
  • Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân
Bên kiểm soát và xử lý
Định nghĩa
  • Là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân
Trách nhiệm thực hiện
  • Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân
Sự đồng ý của chủ thể dữ liệu
  • Áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân
  • Chỉ có hiệu lực khi chủ thể tự nguyện và biết rõ nội dung xử lý
  • Sự đồng ý phải được thể hiện rõ ràng, cụ thể, kiểm chứng được
  • Sự đồng ý phải được tiến hành cho cùng một mục đích
  • Sự im lặng không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý
  • Chủ thể có thể đồng ý một phần hoặc với điều kiện kèm theo
  • Chủ thể phải được thông báo khi xử lý dữ liệu cá nhân nhạy cảm
  • Bên Kiểm soát dữ liệu cá nhân có trách nhiệm chứng minh sự đồng ý
Rút lại sự đồng ý
  • Không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý
  • Phải được thể hiện ở một định dạng kiểm chứng được
  • Bên Kiểm soát thống báo cho chủ thể về hậu quả, thiệt hại có thể xảy ra
  • Các bên liên quan phả ngừng xử lý dữ liệu của chủ thể đã rút lại sự đồng ý
Thông báo xử lý dữ liệu cá nhân
  • Thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân
  • Thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được
Cung cấp dữ liệu cá nhân
  • Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình
  • Thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu
  • Không cung cấp dữ liệu cá nhân trong trường hợp: Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội
Chỉnh sửa dữ liệu cá nhân
Bên chủ thể Bên kiểm soát, xử lý, bên thứ ba
  • Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình
  • Chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình
  • Chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý
  • Thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa
  • Được chỉnh sửa khi có văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu
Lưu, xóa dữ liệu cá nhân
  • Đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu
  • Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý
  • Thực hiện trong 72 giờ sau khi có yêu cầu
  • Xóa không thể khôi phục trong trường hợp: không đúng mục đích; không còn cần thiết; giải thể hoặc không còn hoạt động; phá sản hoặc bị chấm dứt hoạt động kinh doanh
Đánh giá tác động xử lý dữ liệu cá nhân
Lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được xác lập bằng văn bản có giá trị pháp lý
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an
Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định
Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05