Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân

Số hiệu	356/2025/NĐ-CP
Cơ quan ban hành	Chính phủ
Ngày ban hành	31/12/2025
Ngày công báo	Đã biết
Lĩnh vực	Công nghệ thông tin,Quyền dân sự

Loại văn bản	Nghị định
Người ký	Nguyễn Hòa Bình
Ngày có hiệu lực	Đã biết
Số công báo	Đã biết
Tình trạng	Đã biết

CHÍNH PHỦ -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 356/2025/NĐ-CP	Hà Nội, ngày 31 tháng 12 năm 2025

NGHỊ ĐỊNH

QUY ĐỊNH CHI TIẾT MỘT SỐ ĐIỀU VÀ BIỆN PHÁP THI HÀNH LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN

Căn cứ Luật Tổ chức Chính phủ số 63/2025/QH15;

Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;

Căn cứ Luật Dữ liệu số 60/2024/QH15;

Căn cứ Luật sửa đổi, bổ sung một số điều của Luật Đấu thầu, Luật Đầu tư theo phương thức đối tác công tư, Luật Hải quan, Luật Thuế giá trị gia tăng, Luật Thuế xuất khẩu, thuế nhập khẩu, Luật Đầu tư, Luật Đầu tư công, Luật quản lý sử dụng tài sản công số 90/2025/QH15;

Theo đề nghị của Bộ trưởng Bộ Công an;

Chính phủ ban hành Nghị định quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Nghị định này quy định chi tiết khoản 2, khoản 3 Điều 2; khoản 5 Điều 4; khoản 3 Điều 6; khoản 5 Điều 9; khoản 3 Điều 17; khoản 7 Điều 20; khoản 7 Điều 21; khoản 4 Điều 22; khoản 5 Điều 23; khoản 3 Điều 27; khoản 6 Điều 30; điểm b khoản 4 Điều 31; khoản 3 Điều 33; Điều 35; khoản 4 Điều 38 Luật Bảo vệ dữ liệu cá nhân và quy định các biện pháp để tổ chức thi hành Luật về nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân, cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; trách nhiệm của các bộ, ngành, địa phương trong bảo vệ dữ liệu cá nhân; kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân.

Điều 2. Đối tượng áp dụng

1. Cơ quan, tổ chức, cá nhân Việt Nam;

2. Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

3. Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

Điều 3. Danh mục dữ liệu cá nhân cơ bản

Dữ liệu cá nhân cơ bản bao gồm:

1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

3. Giới tính;

4. Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

5. Quốc tịch;

6. Hình ảnh của cá nhân;

7. Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe;

8. Tình trạng hôn nhân;

9. Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);

10. Thông tin về tài khoản số của cá nhân;

11. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại Điều 4 Nghị định này.

Điều 4. Danh mục dữ liệu cá nhân nhạy cảm

1. Dữ liệu cá nhân nhạy cảm bao gồm:

a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;

b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;

c) Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;

d) Tình trạng sức khỏe;

đ) Dữ liệu sinh trắc học, đặc điểm di truyền;

e) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;

g) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h) Vị trí của cá nhân được xác định qua dịch vụ định vị;

i) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;

k) Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;

l) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

m) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

2. Trong quá trình xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật.

Chương II

YÊU CẦU, ĐIỀU KIỆN BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 5. Thực hiện quyền của chủ thể dữ liệu cá nhân

1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân và trách nhiệm các bộ phận có liên quan; đảm bảo chủ thể dữ liệu cá nhân được biết về thủ tục thực hiện các quyền quy định tại khoản 1 Điều 4 của Luật Bảo vệ dữ liệu cá nhân.

2. Khi nhận được yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục ngừng xử lý dữ liệu cá nhân và thực hiện trong thời hạn 15 ngày, trừ trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân theo quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân.Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba ngừng xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 20 ngày.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 15 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.

3. Khi nhận được yêu cầu xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân, cung cấp dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 10 ngày. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 15 ngày.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 10 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.

4. Khi nhận được yêu cầu xóa dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 20 ngày. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba cung cấp, xóa, hạn chế xử lý dữ liệu của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 30 ngày.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 20 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.

5. Khi nhận được yêu cầu thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo đúng thủ tục của chủ thể dữ liệu cá nhân, cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 15 ngày.

Điều 6. Phương thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân

1. Các phương thức xin sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm khả năng kiểm chứng được về việc xác định chủ thể dữ liệu cá nhân đã thực hiện sự đồng ý, thời điểm và nội dung được đồng ý, bao gồm:

a) Bằng văn bản;

b) Bằng cuộc gọi ghi âm;

c) Cú pháp đồng ý qua tin nhắn điện thoại;

d) Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;

đ) Bằng các phương thức khác phù hợp có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

2. Bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân phải lưu trữ sự đồng ý của chủ thể dữ liệu. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân.

4. Đối với việc xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

Điều 7. Chuyển giao dữ liệu cá nhân

1. Tổ chức, cá nhân chuyển giao dữ liệu cá nhân theo điểm a, điểm c, điểm d khoản 1 Điều 17 của Luật Bảo vệ dữ liệu cá nhân phải xác lập thỏa thuận về việc chuyển giao dữ liệu cá nhân với bên nhận dữ liệu cá nhân, trong đó nêu rõ các nội dung sau:

a) Mục đích chuyển giao dữ liệu cá nhân;

b) Đối tượng chủ thể dữ liệu cá nhân và loại dữ liệu cá nhân được chuyển giao phù hợp với mục đích chuyển giao;

c) Thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân sau khi hoàn thành mục đích chuyển giao;

d) Cơ sở pháp lý của việc chuyển giao dữ liệu cá nhân;

đ) Trách nhiệm bảo vệ dữ liệu cá nhân trong quá trình chuyển giao, xử lý dữ liệu cá nhân;

e) Trách nhiệm thực hiện các quyền của chủ thể dữ liệu cá nhân;

g) Trách nhiệm phối hợp và tuân thủ của các bên trong trường hợp phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân.

2. Việc chuyển giao dữ liệu cá nhân nhạy cảm phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh dữ liệu cá nhân và các biện pháp bảo mật khác trong quá trình chuyển giao.

3. Trường hợp chuyển giao dữ liệu cá nhân theo điểm a, điểm d khoản 1 Điều 17 của Luật Bảo vệ dữ liệu cá nhân có thu phí để cung cấp dịch vụ cho chủ thể dữ liệu cá nhân hoặc để phục vụ lợi ích hợp pháp của chủ thể dữ liệu cá nhân, tổ chức, cá nhân tuân thủ các quy định như sau:

a) Phải thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao, trên cơ sở được biết chính xác mục đích chuyển giao, tổ chức, cá nhân tiếp nhận và xử lý dữ liệu cá nhân;

b) Chỉ được xử lý dữ liệu cá nhân đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh;

c) Loại dữ liệu cá nhân chuyển giao phải giới hạn trong phạm vi mục đích chuyển giao;

d) Không được thu thập, lưu trữ, hình thành kho dữ liệu cá nhân từ hoạt động chuyển giao dữ liệu cá nhân để sử dụng cho các mục đích khác ngoài các mục đích đã được chủ thể dữ liệu cá nhân đồng ý;

đ) Xác định rõ vai trò bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba trong hoạt động chuyển giao dữ liệu cá nhân;

e) Phải có thỏa thuận chuyển giao, xử lý dữ liệu cá nhân trước khi chuyển và cam kết trách nhiệm, nghĩa vụ với chủ thể dữ liệu cá nhân.

4. Trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, cơ quan, tổ chức phải xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.

5. Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu.

6. Cơ quan, tổ chức, cá nhân thực hiện cung cấp dữ liệu cá nhân theo khoản 2 Điều 15 của Luật Bảo vệ dữ liệu cá nhân dựa trên từng yêu cầu cụ thể của chủ thể dữ liệu thì không được coi là chuyển giao dữ liệu và không phải thực hiện theo quy định tại Điều này.

Điều 8. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng

1. Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm áp dụng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân; quy chuẩn kỹ thuật khử nhận dạng dữ liệu cá nhân, ẩn danh dữ liệu cá nhân được ban hành và áp dụng tại Việt Nam; thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần; ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân.

2. Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng là bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân khi xin sự đồng ý của chủ thể dữ liệu cá nhân phải đảm bảo nêu rõ:

a) Các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu có;

b) Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan;

c) Thời gian lưu trữ dữ liệu cá nhân;

d) Cơ chế, cách thức rút lại sự đồng ý và chính sách xóa, hủy dữ liệu cá nhân theo quy định.

3. Trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm của chủ thể dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng, tổ chức, cá nhân trực tiếp thu thập dữ liệu cá nhân của chủ thể dữ liệu có trách nhiệm thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân. Nội dung thông báo cần đảm bảo tối thiểu các nội dung quy định tại khoản 1 Điều 28 Nghị định này.

Điều 9. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn

1. Xử lý dữ liệu lớn có chứa dữ liệu cá nhân là hoạt động xử lý dữ liệu cá nhân ở quy mô lớn, có tính liên tục, tích hợp từ nhiều nguồn khác nhau, có khả năng phân tích hành vi, dự đoán xu hướng hoặc phân loại người dùng.

2. Trường hợp xử lý dữ liệu lớn có chứa dữ liệu cá nhân, cơ quan, tổ chức, cá nhân có liên quan có trách nhiệm:

a) Tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu ngay từ thời điểm bắt đầu xử lý;

b) Chỉ thu thập, xử lý và lưu trữ dữ liệu cá nhân đúng phạm vi, phù hợp với mục đích cụ thể, rõ ràng;

c) Xây dựng chính sách lưu trữ, xóa, hủy dữ liệu cá nhân phù hợp, đúng quy định pháp luật;

d) Tổ chức đào tạo, phổ biến và nâng cao nhận thức về bảo mật dữ liệu cá nhân và các biện pháp bảo vệ dữ liệu cá nhân cho nhân viên định kỳ, đặc biệt là nhân sự trực tiếp xử lý dữ liệu cá nhân. Tăng cường nhận thức về tầm quan trọng của bảo vệ dữ liệu cá nhân trong tổ chức;

đ) Có thỏa thuận với bên thứ ba, đối tác và nhà cung cấp dịch vụ đảm bảo tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân;

e) Có cơ chế thông báo và giải thích phù hợp cho chủ thể dữ liệu về việc dữ liệu cá nhân của họ được sử dụng trong hệ thống phân tích dữ liệu lớn.

3. Cơ quan, tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu lớn, bao gồm:

a) Áp dụng các biện pháp bảo đảm an ninh mạng, bảo mật dữ liệu, phòng chống thất thoát dữ liệu cá nhân trong quá trình lưu trữ, xử lý, truyền tải dữ liệu cá nhân;

b) Sử dụng phương thức xác thực mạnh, yêu cầu tối thiểu xác thực đa yếu tố (mật khẩu, mã PIN kết hợp với mật khẩu dùng một lần, thiết bị ký số hoặc yếu tố sinh trắc học), phù hợp với mức độ nhạy cảm của dữ liệu cá nhân; phân quyền truy cập để đảm bảo chỉ những người có quyền mới có thể truy cập dữ liệu cá nhân;

c) Thực hiện mã hóa, ẩn danh dữ liệu cá nhân (quá trình tách các dữ liệu xác định một con người cụ thể để lưu trữ và bảo mật riêng biệt, các dữ liệu cá nhân sau quá trình này được sử dụng để xử lý mà không thể xác định một con người cụ thể) trong quá trình chuyển giao, cung cấp dữ liệu cá nhân, trừ trường hợp pháp luật chuyên ngành có quy định khác hoặc khi việc xử lý yêu cầu dữ liệu ở dạng bản rõ để phục vụ phòng, chống tội phạm, phòng chống rửa tiền, bảo đảm an ninh quốc gia, xử lý khiếu nại, tranh chấp của khách hàng. Trong các trường hợp này, cơ quan, tổ chức phải áp dụng bổ sung các giải pháp bảo mật để bảo đảm dữ liệu cá nhân không bị truy cập, sử dụng trái phép;

d) Thực hiện giám sát liên tục, sử dụng các công cụ giám sát để theo dõi hoạt động truy cập dữ liệu cá nhân và phát hiện các hành vi bất thường;

đ) Thực hiện kiểm tra, đánh giá định kỳ về an ninh mạng và bảo mật dữ liệu để phát hiện, ngăn chặn và khắc phục lỗ hổng bảo mật.

Điều 10. Bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo

1. Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các thuật toán tự học, hệ thống trí tuệ nhân tạo và các hệ thống tự động khác nhưng cần bảo đảm tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

2. Dữ liệu từ kết quả suy luận của trí tuệ nhân tạo nếu có thể được sử dụng để xác định hoặc giúp xác định một con người cụ thể thì phải được áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích nguyên tắc hoạt động của thuật toán và ảnh hưởng đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu; đưa ra các lựa chọn để chủ thể dữ liệu có quyền không tham gia.

4. Vũ trụ ảo (metaverse) là một vũ trụ kỹ thuật số kết hợp các khía cạnh của truyền thông xã hội, trò chơi trực tuyến, thực tế tăng cường (AR), thực tế ảo (VR), Internet và tiền điện tử để cho phép người dùng sử dụng công nghệ thực tế ảo để tương tác.

5. Các tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo, gồm:

a) Nghiên cứu, xây dựng và triển khai hệ thống đáp ứng các tiêu chuẩn an ninh mạng, tiêu chuẩn bảo vệ dữ liệu toàn diện cho các hệ thống trí tuệ nhân tạo, đặc biệt chú trọng các yếu tố: bảo mật thông tin, độ tin cậy của thuật toán, tính ổn định hệ thống và khả năng phòng chống tấn công mạng;

b) Thiết lập cơ chế giám sát hoạt động của hệ thống trí tuệ nhân tạo trên hai phương diện: giám sát của cơ quan nhà nước có thẩm quyền; trách nhiệm giải trình đối với chủ thể dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

c) Xây dựng cơ chế bảo vệ dữ liệu cá nhân theo tiêu chuẩn phù hợp, phát triển hệ thống giám sát và cảnh báo sớm các nguy cơ an ninh mạng;

d) Thiết lập cơ chế kiểm soát, ngăn chặn việc lợi dụng trí tuệ nhân tạo, vũ trụ ảo vào các hoạt động xâm phạm an ninh quốc gia, trật tự an toàn xã hội;

đ) Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

6. Chủ thể dữ liệu cá nhân phải có quyền chỉnh sửa, ẩn danh, xóa hồ sơ nhận dạng, kể cả khi nền tảng lưu trữ lịch sử hành vi.

Điều 11. Bảo vệ dữ liệu cá nhân trong công nghệ chuỗi khối

1. Các cơ quan, tổ chức, cá nhân có liên quan khi xử lý dữ liệu cá nhân trong công nghệ chuỗi khối có trách nhiệm tuân thủ các quy định về bảo vệ dữ liệu cá nhân ngay trong quá trình nghiên cứu, phát triển các sản phẩm, dịch vụ, ứng dụng, hệ thống sử dụng công nghệ chuỗi khối và trong quá trình xử lý dữ liệu cá nhân.

2. Cơ quan, tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân khi xử lý dữ liệu cá nhân trong công nghệ chuỗi khối, bao gồm:

a) Chỉ áp dụng các thuật toán mã hóa, thuật toán băm, thuật toán ký số đảm bảo an toàn;

b) Không lưu trữ trực tiếp dữ liệu cá nhân trên chuỗi khối, chỉ lưu trữ khi dữ liệu cá nhân đã được khử nhận dạng hoặc lưu trữ giá trị băm của dữ liệu cá nhân;

c) Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

Điều 12. Bảo vệ dữ liệu cá nhân trong điện toán đám mây

1. Các cơ quan, tổ chức, cá nhân có liên quan phải áp dụng các biện pháp kỹ thuật và tổ chức để ngăn chặn dữ liệu cá nhân bị truy cập trái phép khi triển khai dịch vụ điện toán đám mây.

2. Các tổ chức, cá nhân ký kết hợp đồng có liên quan tới xử lý dữ liệu cá nhân với các tổ chức cung cấp dịch vụ điện toán đám mây có trách nhiệm như sau:

a) Nêu rõ trong nội dung hợp đồng về việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân; chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;

b) Xác định rõ luồng xử lý dữ liệu cá nhân, vai trò các bên trong hoạt động cung cấp dịch vụ điện toán đám mây và trách nhiệm tương ứng;

c) Có yêu cầu về các biện pháp bảo mật, kỹ thuật, tổ chức và được nêu rõ trong hợp đồng;

d) Thông báo ngay lập tức cho các bên liên quan bất kỳ sự thay đổi nào có thể ảnh hưởng tới dữ liệu cá nhân;

đ) Tuân thủ thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân;

e) Bảo đảm thực hiện các quyền của chủ thể dữ liệu cá nhân;

g) Thực hiện đầy đủ các biện pháp kỹ thuật để bảo đảm quyền truy cập dữ liệu cá nhân được phân cấp một cách hợp lý.

3. Các tổ chức cung cấp dịch vụ điện toán đám mây:

a) Chấp hành các quy định về bảo vệ dữ liệu cá nhân của Việt Nam, cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân, chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;

b) Đề nghị các nhà thầu phụ thực hiện các quy định và nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định của pháp luật;

c) Áp dụng các biện pháp kỹ thuật và tổ chức ở mức phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của mình;

d) Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

4. Dữ liệu cá nhân trên điện toán đám mây phải được mã hóa ở trạng thái nghỉ và truyền, kèm theo phân quyền truy cập nghiêm ngặt.

Điều 13. Điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

1. Việc chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân phải được thực hiện bằng văn bản chính thức của cơ quan, tổ chức đó; thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức đó.

2. Nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:

a) Có trình độ cao đẳng trở lên;

b) Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;

c) Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

3. Trường hợp cơ quan, tổ chức thành lập bộ phận bảo vệ dữ liệu cá nhân, các nhân sự trong bộ phận phải đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều này.

4. Cơ quan, tổ chức chịu trách nhiệm đánh giá, lựa chọn nhân sự bảo vệ dữ liệu cá nhân.

5. Cơ quan, tổ chức ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân, có thể thỏa thuận về các trường hợp miễn trừ trách nhiệm khi xảy ra vi phạm hoặc thiệt hại đối với dữ liệu cá nhân được bảo vệ.

6. Cơ quan, tổ chức chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân có trách nhiệm đào tạo, bồi dưỡng kiến thức, kỹ năng về bảo vệ dữ liệu cá nhân cho nhân sự bảo vệ dữ liệu cá nhân.

Điều 14. Nhiệm vụ của bộ phận bảo vệ dữ liệu cá nhân, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

1. Bộ phận bảo vệ dữ liệu cá nhân có chức năng, nhiệm vụ như sau:

a) Tổ chức xây dựng chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân;

b) Tổ chức triển khai thực hiện các quyền của chủ thể dữ liệu cá nhân;

c) Định kỳ tổ chức đánh giá thực trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân của tổ chức bằng báo cáo đánh giá mức độ thực hiện các nghĩa vụ theo quy định pháp luật để đề xuất các biện pháp nâng cao hiệu quả tuân thủ pháp luật, phòng ngừa và kiểm soát rủi ro trong hoạt động xử lý dữ liệu cá nhân;

d) Thực hiện lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, tiếp nhận và báo cáo vi phạm về bảo vệ dữ liệu cá nhân và thực hiện các yêu cầu khác của cơ quan có thẩm quyền theo quy định;

đ) Xây dựng kế hoạch và triển khai đào tạo, bồi dưỡng định kỳ về bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức;

e) Tổ chức triển khai thực hiện các biện pháp kỹ thuật bảo mật dữ liệu cá nhân, tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân, kế hoạch ứng cứu khẩn cấp sự cố bảo vệ dữ liệu cá nhân;

g) Nghiên cứu và đề xuất các quyết định liên quan đến bảo vệ dữ liệu cá nhân.

2. Nhân sự bảo vệ dữ liệu cá nhân có nhiệm vụ như sau:

a) Tham mưu xây dựng chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân;

b) Tham gia triển khai thực hiện các quyền của chủ thể dữ liệu cá nhân;

c) Tham gia hoạt động định kỳ đánh giá thực trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân và đề xuất các biện pháp nâng cao hiệu quả tuân thủ pháp luật, phòng ngừa và kiểm soát rủi ro;

đ) Tham gia các chương trình, khóa học bồi dưỡng về bảo vệ dữ liệu cá nhân;

e) Tham gia thực hiện các biện pháp kỹ thuật bảo mật dữ liệu cá nhân, tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân, kế hoạch ứng cứu khẩn cấp sự cố bảo vệ dữ liệu cá nhân.

Điều 15. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân

1. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân là người đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều này, được cơ quan, tổ chức thuê làm nhân sự bảo vệ dữ liệu cá nhân.

2. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải đáp ứng đủ các điều kiện năng lực như sau:

a) Có trình độ cao đẳng trở lên;

b) Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ;

c) Đã được đào tạo, bồi dưỡng chuyên sâu kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

3. Cơ quan, tổ chức có nhu cầu thuê cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân tiến hành xem xét điều kiện năng lực theo khoản 2 Điều này, giao kết hợp đồng sử dụng nhân sự bảo vệ dữ liệu cá nhân; công khai thông tin về nhân sự bảo vệ dữ liệu cá nhân cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.

4. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân có trách nhiệm:

a) Thực hiện dịch vụ theo đúng phạm vi và nhiệm vụ trong hợp đồng, thỏa thuận;

b) Không lợi dụng việc cung cấp dịch vụ để thực hiện các hành vi vi phạm pháp luật;

c) Thực hiện xóa, hủy dữ liệu cá nhân xử lý trong quá trình cung cấp dịch vụ sau khi đã hoàn thành hợp đồng và theo quy định pháp luật.

Điều 16. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân

1. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân:

a) Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý được cơ quan, tổ chức thuê để tư vấn việc tuân thủ quy định bảo vệ dữ liệu cá nhân và thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân theo thỏa thuận;

b) Có tối thiểu 03 nhân sự đáp ứng đủ các điều kiện năng lực theo khoản 2 Điều 15 Nghị định này;

c) Đã cung cấp các sản phẩm, dịch vụ liên quan đến bảo mật, an ninh mạng, công nghệ thông tin, đánh giá tiêu chuẩn, tư vấn về bảo vệ dữ liệu cá nhân.

2. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải xây dựng hồ sơ năng lực chứng minh khả năng bảo vệ dữ liệu cá nhân và cung cấp cho cơ quan, tổ chức có nhu cầu sử dụng dịch vụ. Hồ sơ phải thể hiện ngành nghề, lĩnh vực kinh doanh; quy mô, phạm vi, kinh nghiệm cung cấp dịch vụ; chính sách cung cấp dịch vụ; tiêu chuẩn, trình độ, năng lực nhân sự; các văn bản, giấy tờ minh chứng có liên quan.

3. Cơ quan, tổ chức có nhu cầu thuê dịch vụ bảo vệ dữ liệu cá nhân tiến hành xem xét hồ sơ năng lực, giao kết hợp đồng sử dụng dịch vụ và thỏa thuận xử lý dữ liệu cá nhân với tổ chức bảo vệ dữ liệu cá nhân; công khai thông tin về tổ chức bảo vệ dữ liệu cá nhân đó cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.

4. Cơ quan, tổ chức tùy theo nhu cầu có thể đồng thời chỉ định nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân và thuê cá nhân, tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

5. Căn cứ vào thỏa thuận với cơ quan, tổ chức thuê dịch vụ bảo vệ dữ liệu cá nhân, tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân thực hiện các nhiệm vụ của bộ phận bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức đó.

6. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân có trách nhiệm:

a) Thực hiện dịch vụ theo đúng phạm vi và nhiệm vụ trong hợp đồng, thỏa thuận;

b) Không lợi dụng việc cung cấp dịch vụ để thực hiện các hành vi vi phạm pháp luật;

c) Thực hiện xóa, hủy dữ liệu cá nhân xử lý trong quá trình cung cấp dịch vụ sau khi đã hoàn thành hợp đồng và theo quy định pháp luật.

Chương III

HỒ SƠ, TRÌNH TỰ, THỦ TỤC VỀ DỮ LIỆU CÁ NHÂN

Điều 17. Chuyển dữ liệu cá nhân xuyên biên giới

1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và bên thứ ba thực hiện hoạt động chuyển dữ liệu cá nhân xuyên biên giới trong các trường hợp sau đây:

a) Hoạt động lưu trữ dữ liệu cá nhân có sự chuyển giao dữ liệu cá nhân thu thập, lưu trữ tại Việt Nam đến hệ thống máy chủ đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc trên dịch vụ điện toán đám mây của nhà cung cấp dịch vụ ở nước ngoài;

b) Hoạt động chuyển dữ liệu cá nhân từ cơ quan, tổ chức, cá nhân từ Việt Nam cho bên nhận là tổ chức, cá nhân ở nước ngoài;

c) Hoạt động xử lý dữ liệu cá nhân được thu thập tại Việt Nam và chuyển đến nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để tiếp tục xử lý.

2. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định yêu cầu bên chuyển dữ liệu xuyên biên giới ngừng chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp:

a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động xâm phạm quốc phòng, an ninh quốc gia;

b) Có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể gây tổn hại đến quốc phòng, an ninh quốc gia.

3. Các trường hợp khác ngoài các trường hợp theo quy định tại điểm a, b, c khoản 6 Điều 20 Luật Bảo vệ dữ liệu cá nhân không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

a) Hoạt động báo chí, truyền thông theo quy định của pháp luật;

b) Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai theo quy định của pháp luật;

c) Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân xuyên biên giới để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật;

d) Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật;

đ) Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực, xin học bổng.

Điều 18. Điều kiện, trình tự, thủ tục, thành phần hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

1. Cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới theo quy định tại khoản 1 Điều 20 Luật Bảo vệ dữ liệu cá nhân phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định tại Điều này.

2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

a) Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Mẫu số 09 tại Phụ lục của Nghị định này;

b) Bản sao hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân xuyên biên giới;

c) Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

3. Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm các nội dung:

a) Thông tin và chi tiết liên lạc của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và các bên khác có liên quan đến hoạt động chuyển dữ liệu cá nhân xuyên biên giới;

b) Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân;

c) Mô tả và luận giải mục đích chuyển dữ liệu cá nhân xuyên biên giới, loại dữ liệu cá nhân chuyển xuyên biên giới, chi tiết các hoạt động chuyển và xử lý dữ liệu cá nhân xuyên biên giới và sơ đồ luồng xử lý dữ liệu cá nhân;

d) Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân;

đ) Phương án bảo đảm an toàn dữ liệu cá nhân sau khi chuyển xuyên biên giới, các biện pháp bảo vệ dữ liệu cá nhân, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;

e) Sơ đồ hệ thống, mô tả tính năng của hệ thống lưu trữ, xử lý dữ liệu cá nhân sau khi tiếp nhận dữ liệu cá nhân xuyên biên giới;

g) Quy trình về việc bên tiếp nhận dữ liệu cá nhân xuyên biên giới chuyển giao, cung cấp dữ liệu cá nhân cho bên thứ ba;

h) Kết quả tự đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới;

i) Đánh giá mức độ bảo vệ dữ liệu cá nhân của bên nhận dữ liệu cá nhân; mức độ ảnh hưởng, rủi ro của việc chuyển và xử lý dữ liệu cá nhân xuyên biên giới; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

4. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Bên chuyển dữ liệu cá nhân xuyên biên giới nộp 01 bản chính hồ sơ đầy đủ bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân kèm theo Mẫu số 01a/01b tại Phụ lục của Nghị định này trong thời hạn 60 ngày kể từ ngày tiến hành chuyển dữ liệu cá nhân xuyên biên giới.

5. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá và trả kết quả đối với hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 15 ngày.

6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên chuyển dữ liệu cá nhân xuyên biên giới hoàn thiện hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong thời hạn 30 ngày đối với trường hợp hồ sơ chưa đầy đủ và đúng quy định. Trường hợp bên chuyển dữ liệu cá nhân không thực hiện hoàn thiện hồ sơ theo đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân xem xét áp dụng các quy định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân.

7. Bên chuyển dữ liệu cá nhân xuyên biên giới cập nhật, bổ sung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Điều 20 Nghị định này.

Điều 19. Điều kiện, trình tự, thủ tục, thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

1. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân bao gồm:

a) Báo cáo đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu số 10 tại Phụ lục của Nghị định này;

b) Bản sao hợp đồng hoặc thỏa thuận về việc xử lý dữ liệu cá nhân, thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân trong hoạt động xử lý dữ liệu cá nhân;

c) Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

3. Báo cáo đánh giá tác động xử lý dữ liệu cá nhân bao gồm các nội dung:

a) Thông tin và chi tiết liên lạc của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba;

b) Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba;

c) Mô tả và luận giải mục đích xử lý dữ liệu cá nhân, loại dữ liệu cá nhân xử lý, chi tiết các hoạt động xử lý dữ liệu cá nhân và sơ đồ luồng dữ liệu cá nhân;

d) Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân;

đ) Phương án bảo đảm an toàn dữ liệu cá nhân, các biện pháp bảo vệ dữ liệu cá nhân, sơ đồ thiết kế hệ thống, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;

e) Kết quả đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân;

g) Đánh giá mức độ ảnh hưởng, rủi ro của hoạt động xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân và nộp 01 bản chính bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân kèm theo Mẫu số 02a/02b tại Phụ lục của Nghị định này trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

5. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá và trả kết quả đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 15 ngày.

6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong thời hạn 30 ngày đối với trường hợp hồ sơ chưa đầy đủ và đúng quy định. Trường hợp bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân không thực hiện hoàn thiện hồ sơ theo đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân xem xét áp dụng các quy định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân.

7. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân cập nhật, bổ sung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của Điều 20 Nghị định này.

Điều 20. Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

1. Hồ sơ chuyển dữ liệu cá nhân xuyên biên giới và hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được cập nhật định kỳ 06 tháng kể từ lần đầu nộp hồ sơ trong các trường hợp sau:

a) Khi phát sinh mục đích chuyển dữ liệu cá nhân mới, mục đích xử lý dữ liệu cá nhân mới;

b) Khi phát sinh hoặc thay đổi bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba.

2. Các trường hợp thay đổi cần cập nhật ngay trong thời hạn 10 ngày bao gồm:

a) Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;

b) Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;

c) Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

3. Việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện theo Mẫu số 03a/03b tại Phụ lục của Nghị định này, nộp bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Điều 21. Dịch vụ xử lý dữ liệu cá nhân

1. Dịch vụ cung cấp và vận hành hệ thống, phần mềm tự động để thay mặt bên kiểm soát, bên kiểm soát và xử lý tiến hành xử lý dữ liệu cá nhân.

2. Dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm của chủ thể dữ liệu cá nhân.

3. Dịch vụ thu thập, xử lý dữ liệu cá nhân trực tuyến từ trang web, ứng dụng, phần mềm và mạng xã hội.

4. Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm chăm sóc sức khỏe, theo dõi sức khỏe, dịch vụ y tế.

5. Dịch vụ thu thập, xử lý dữ liệu cá nhân qua ứng dụng, phần mềm giáo dục có yếu tố giám sát như điểm danh, ghi hình, chấm điểm hành vi, nhận diện cảm xúc.

6. Dịch vụ phân tích và khai thác dữ liệu cá nhân, gồm: sử dụng các công cụ phân tích để tìm kiếm thông tin, xu hướng và mẫu từ dữ liệu cá nhân; áp dụng các phương pháp khai thác dữ liệu để trích xuất giá trị từ dữ liệu cá nhân, dự đoán hành vi người dùng hoặc tối ưu hóa dịch vụ.

7. Dịch vụ mã hóa dữ liệu cá nhân trong quá trình truyền tải và lưu trữ.

8. Dịch vụ xử lý dữ liệu cá nhân tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo.

9. Dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân.

Điều 22. Điều kiện của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Là tổ chức, doanh nghiệp được thành lập và hoạt động theo pháp luật Việt Nam, đáp ứng các điều kiện quy định tại Điều này.

2. Điều kiện về nhân sự:

a) Người đứng đầu phụ trách chuyên môn về xử lý dữ liệu cá nhân của tổ chức là công dân Việt Nam, thường trú tại Việt Nam;

b) Có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn xử lý dữ liệu cá nhân;

c) Có tối thiểu 03 nhân sự đủ điều kiện năng lực theo quy định tại khoản 2 Điều 13 Nghị định này.

3. Có hạ tầng, hệ thống trang thiết bị, cơ sở vật chất và công nghệ phù hợp với dịch vụ xử lý dữ liệu cá nhân.

4. Có kết quả đạt yêu cầu đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp có chuyển dữ liệu cá nhân xuyên biên giới.

Điều 23. Trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Tuân thủ đầy đủ các quy định pháp luật về bảo vệ dữ liệu cá nhân; trách nhiệm, nghĩa vụ của bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

2. Xây dựng khung quản trị rủi ro về bảo vệ dữ liệu cá nhân phù hợp với dịch vụ cung cấp.

3. Thực hiện đánh giá hiện trạng tuân thủ và mức độ tín nhiệm về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

4. Áp dụng tiêu chuẩn, quy chuẩn liên quan đến an ninh dữ liệu, bảo vệ dữ liệu cá nhân, an ninh mạng.

5. Xây dựng quy định về trách nhiệm và quyền hạn của tổ chức trong xử lý dữ liệu cá nhân.

6. Bảo đảm xử lý dữ liệu cá nhân đúng mục đích, giới hạn việc thu thập, chuyển giao, lưu trữ phù hợp và theo quy định pháp luật; ngăn chặn truy cập, thu thập, sử dụng, tiết lộ trái phép hoặc các rủi ro tương tự trong hoạt động xử lý dữ liệu cá nhân.

7. Trường hợp là bên xử lý dữ liệu cá nhân, tổ chức yêu cầu bên kiểm soát dữ liệu cá nhân xin sự đồng ý của chủ thể dữ liệu theo quy định trước khi cung cấp dịch vụ, bảo đảm chủ thể dữ liệu cá nhân được biết về loại dữ liệu cá nhân xử lý, mục đích xử lý và tổ chức cung cấp dịch vụ xử lý dữ liệu cá nhân.

8. Tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân thực hiện việc xác thực danh tính tổ chức theo quy định pháp luật về định danh và xác thực điện tử.

Điều 24. Thẩm quyền cấp, cấp lại, cấp đổi, thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Bộ Công an cấp, cấp lại, cấp đổi, thu hồi Giấy chứng nhận đủ điều kiện cung cấp dịch vụ xử lý dữ liệu cá nhân.

2. Bộ trưởng Bộ Công an giao trách nhiệm cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân thực hiện việc cấp, cấp lại, cấp đổi, thu hồi Giấy chứng nhận đủ điều kiện cung cấp dịch vụ xử lý dữ liệu cá nhân theo quy định.

Điều 25. Hồ sơ, trình tự, thủ tục về việc cấp Chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Hồ sơ đề nghị cấp Chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, gồm:

a) Đơn đề nghị cấp Chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân theo Mẫu số 04 tại Phụ lục của Nghị định này;

b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp;

c) Văn bản chỉ định bộ phận bảo vệ dữ liệu cá nhân hoặc hợp đồng sử dụng dịch vụ bảo vệ dữ liệu cá nhân theo quy định;

d) Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân;

đ) Bằng cấp và các giấy tờ chứng minh khác của nhân sự quy định tại điểm c khoản 2 Điều 22 Nghị định này;

e) Tổ chức không phải nộp giấy tờ quy định tại điểm b khoản này trong trường hợp cơ quan nhà nước khai thác được trên cơ sở dữ liệu.

2. Đề án đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân bao gồm các nội dung:

a) Sự cần thiết, mục tiêu;

b) Nội dung, lĩnh vực đề nghị phê duyệt;

c) Ngành nghề, lĩnh vực kinh doanh, phương án kinh doanh;

d) Quy mô hoạt động xử lý dữ liệu cá nhân dự kiến;

đ) Khung quản trị rủi ro về bảo vệ dữ liệu cá nhân;

e) Kế hoạch đánh giá hiện trạng tuân thủ và mức độ tín nhiệm về bảo vệ dữ liệu cá nhân định kỳ;

g) Việc áp dụng tiêu chuẩn, quy chuẩn liên quan đến an ninh dữ liệu, bảo vệ dữ liệu cá nhân;

h) Phương án sử dụng dịch vụ về định danh và xác thực điện tử;

i) Trách nhiệm và quyền hạn của tổ chức trong xử lý dữ liệu cá nhân;

k) Nhân sự đủ điều kiện theo quy định.

3. Tổ chức nộp 01 bộ hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 10 ngày. Trường hợp hồ sơ chưa đầy đủ và đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông báo bằng văn bản cho tổ chức đề nghị bổ sung, hoàn thiện hồ sơ trong thời hạn 15 ngày và nêu rõ lý do.

4. Trong thời hạn 30 ngày kể từ ngày nhận đầy đủ hồ sơ hợp lệ, cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, xem xét, quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân theo Mẫu số 05 tại Phụ lục của Nghị định này. Giấy chứng nhận đủ điều kiện cung cấp dịch vụ xử lý dữ liệu cá nhân là bản giấy, bản điện tử; bản giấy được cấp trong trường hợp nộp hồ sơ trực tiếp hoặc qua dịch vụ bưu chính hoặc theo yêu cầu khi nộp hồ sơ trực tuyến qua cổng dịch vụ công. Trường hợp không cấp, cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông báo bằng văn bản cho tổ chức và nêu rõ lý do.

Điều 26. Hồ sơ, trình tự, thủ tục về việc cấp lại, cấp đổi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Cấp lại khi bị mất, bị hỏng bản giấy Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân.

a) Trường hợp tổ chức có nhu cầu cấp lại bản giấy thì gửi đơn đề nghị theo Mẫu số 05 tại Phụ lục của Nghị định này bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

b) Trong thời hạn 05 ngày làm việc kể từ ngày nhận được đơn đề nghị theo quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân xem xét, cấp lại Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân; trường hợp không cấp phải có thông báo bằng văn bản nêu rõ lý do.

2. Cấp đổi khi bị sai thông tin hoặc thay đổi nội dung Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân.

a) Hồ sơ gồm: Đơn đề nghị theo Mẫu số 06 tại Phụ lục của Nghị định này; Giấy tờ, tài liệu chứng minh nội dung sai thông tin, thay đổi nội dung thông tin trên Giấy chứng nhận đã được cấp.

b) Tổ chức nộp 01 bộ hồ sơ nêu trên bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trong thời hạn 05 ngày làm việc kể từ ngày nhận đủ hồ sơ quy định tại điểm a khoản này, cơ quan chuyên trách bảo vệ dữ liệu cá nhân xem xét, quyết định cấp đổi Chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân; trường hợp không cấp phải có thông báo bằng văn bản nêu rõ lý do.

Điều 27. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân

1. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân trong các trường hợp sau:

a) Khi không bảo đảm một trong các điều kiện tại khoản 1, khoản 2 Điều 26 Nghị định này;

b) Không kinh doanh dịch vụ từ 12 tháng trở lên;

c) Bị giải thể hoặc phá sản theo quy định của pháp luật;

d) Không khắc phục vi phạm về bảo vệ dữ liệu cá nhân, an toàn thông tin, an ninh mạng, an ninh dữ liệu theo yêu cầu của cơ quan nhà nước có thẩm quyền;

đ) Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động.

2. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân theo Mẫu số 07 tại Phụ lục của Nghị định này.

3. Tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân có trách nhiệm nộp lại Giấy chứng nhận đã được cấp cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn 05 ngày làm việc kể từ khi nhận được quyết định thu hồi.

4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân khi ban hành Quyết định việc thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân và thông báo trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

Điều 28. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

1. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân, gồm:

a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;

b) Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;

c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;

d) Mô tả biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.

2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý bên thứ ba gửi thông báo vi phạm quy định về dữ liệu cá nhân đến cơ quan chuyên trách bảo vệ dữ liệu cá nhân hoặc qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân theo Mẫu số 08 tại Phụ lục của Nghị định này.

Điều 29. Thông báo vi phạm đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học

1. Khi xảy ra sự cố vi phạm dữ liệu cá nhân liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học, bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm:

a) Thông báo cho chủ thể dữ liệu bị ảnh hưởng trong thời hạn không quá 72 giờ kể từ thời điểm phát hiện vi phạm;

b) Báo cáo cho cơ quan nhà nước có thẩm quyền theo quy định tại Điều 28 Nghị định này;

c) Ghi nhận, lưu trữ và cập nhật hồ sơ vi phạm phục vụ công tác thanh tra, kiểm tra và xử lý. Tổ chức phải lưu hồ sơ vi phạm trong thời gian tối thiểu 5 năm kể từ ngày khắc phục xong sự cố.

2. Thông báo cho chủ thể dữ liệu theo điểm a khoản 1 Điều này phải bao gồm tối thiểu các nội dung sau:

a) Thời điểm và hình thức phát hiện vi phạm;

b) Loại dữ liệu bị ảnh hưởng (vị trí, sinh trắc học hoặc cả hai);

c) Mức độ nghiêm trọng và các rủi ro có thể xảy ra đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu;

d) Biện pháp đã, đang và sẽ được thực hiện để khắc phục sự cố và giảm thiểu thiệt hại;

đ) Hướng dẫn chủ thể dữ liệu thực hiện các biện pháp phòng ngừa, ngăn chặn tiếp theo;

e) Thông tin liên hệ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; bộ phận tiếp nhận, xử lý sự cố dữ liệu cá nhân tại tổ chức.

3. Trường hợp tổ chức, cá nhân không thể thông báo cho tất cả chủ thể dữ liệu cá nhân bị ảnh hưởng trong thời hạn nêu tại khoản 1 Điều này vì lý do kỹ thuật hoặc khẩn cấp, phải thực hiện:

a) Thông báo công khai bằng phương tiện điện tử chính thức của tổ chức qua trang thông tin điện tử, ứng dụng;

b) Gửi thông báo cho chủ thể dữ liệu cá nhân liên quan ngay khi điều kiện kỹ thuật cho phép.

4. Trường hợp tổ chức, cá nhân không thực hiện thông báo đúng hạn hoặc cố tình trì hoãn, né tránh nghĩa vụ thông báo sẽ bị xem xét xử lý vi phạm theo quy định của pháp luật.

Chương IV

THỰC THI CÔNG TÁC BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 30. Trách nhiệm thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân

1. Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân có trách nhiệm giúp Bộ Công an thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân.

2. Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

3. Ủy ban nhân dân cấp tỉnh thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

Điều 31. Kiểm tra hoạt động bảo vệ dữ liệu cá nhân

1. Kiểm tra hoạt động bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, đột xuất, trong trường hợp sau đây:

a) Khi có căn cứ nghi vấn về hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

b) Khi có chỉ đạo của cơ quan, người có thẩm quyền quản lý nhà nước về bảo vệ dữ liệu cá nhân;

c) Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.

2. Đối tượng kiểm tra hoạt động bảo vệ dữ liệu cá nhân bao gồm:

a) Cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân;

b) Tổ chức, cá nhân kinh doanh dịch vụ xử lý dữ liệu cá nhân;

c) Cơ quan, tổ chức, cá nhân phải thực hiện hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới;

d) Cơ quan, tổ chức, cá nhân có liên quan đến các vụ, việc vi phạm quy định về bảo vệ dữ liệu cá nhân.

3. Nội dung kiểm tra công tác bảo vệ dữ liệu cá nhân:

a) Hiện trạng tuân thủ công tác bảo vệ dữ liệu cá nhân;

b) Hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới;

c) Hoạt động kinh doanh dịch vụ xử lý dữ liệu cá nhân.

4. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân ban hành quyết định kiểm tra và thông báo cho đối tượng kiểm tra quy định tại khoản 2 Điều này trước 15 ngày về thời gian, nội dung và thành phần đoàn kiểm tra. Trường hợp kiểm tra đột xuất để kịp thời xác minh, phát hiện, ngăn chặn hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, cơ quan chuyên trách bảo vệ dữ liệu cá nhân có quyền tiến hành kiểm tra ngay mà không cần thông báo trước.

5. Đối tượng kiểm tra phải chuẩn bị đầy đủ các nội dung kiểm tra phù hợp theo quy định tại khoản 3 Điều này và theo yêu cầu cụ thể tại quyết định kiểm tra do cơ quan chuyên trách về bảo vệ dữ liệu cá nhân ban hành.

Điều 32. Nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân

Cơ quan, tổ chức, doanh nghiệp và cá nhân tham gia nghiên cứu, phát triển, ứng dụng các giải pháp bảo vệ dữ liệu cá nhân, bao gồm:

1. Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ dữ liệu cá nhân;

2. Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ dữ liệu cá nhân đạt chuẩn;

3. Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng;

4. Ghi nhận và quản lý sự tuân thủ quy định về bảo vệ dữ liệu cá nhân;

5. Giải quyết nguy cơ lộ, mất dữ liệu cá nhân;

6. Sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về bảo vệ dữ liệu cá nhân;

7. Xử lý dữ liệu cá nhân phục vụ công tác thống kê, khoa học;

8. Giải pháp cho chủ thể dữ liệu cá nhân kiểm soát dữ liệu cá nhân của mình, cung cấp và chia sẻ dữ liệu theo cơ chế tiết lộ có chọn lọc, ứng dụng công nghệ cao, công nghệ chiến lược phù hợp với các tiêu chuẩn, quy chuẩn quốc tế;

9. Tiêu chuẩn bảo vệ dữ liệu cá nhân;

10. Các giải pháp bảo vệ dữ liệu cá nhân khác phù hợp với quy định pháp luật.

Điều 33. Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân

1. Ban hành theo thẩm quyền hoặc trình cơ quan nhà nước có thẩm quyền ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân; tổ chức thực hiện pháp luật về bảo vệ dữ liệu cá nhân.

2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.

3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân.

5. Xây dựng, đào tạo, bồi dưỡng, phát triển nguồn nhân lực về bảo vệ dữ liệu cá nhân.

6. Thanh tra, kiểm tra, khen thưởng, giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.

8. Tổ chức sơ kết, tổng kết, nghiên cứu khoa học về bảo vệ dữ liệu cá nhân; nghiên cứu, ứng dụng tiến bộ khoa học và công nghệ về bảo vệ dữ liệu cá nhân.

9. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.

Điều 34. Trách nhiệm của Bộ Công an

1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.

2. Chủ trì xây dựng, ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành văn bản quy phạm pháp luật hướng dẫn thực hiện các quy định pháp luật về bảo vệ dữ liệu cá nhân.

3. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

4. Chủ trì, phối hợp với Bộ Khoa học và Công nghệ xây dựng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân; quy chuẩn kỹ thuật khử nhận dạng dữ liệu cá nhân, ẩn danh dữ liệu cá nhân được ban hành và áp dụng tại Việt Nam.

5. Xây dựng, quản lý, vận hành cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

6. Triển khai tuyên truyền, phổ biến, giáo dục pháp luật và hướng dẫn, bồi dưỡng kiến thức, kỹ năng về bảo vệ dữ liệu cá nhân cho lực lượng bảo vệ dữ liệu cá nhân.

7. Đánh giá, sơ kết, tổng kết kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

8. Thúc đẩy nghiên cứu khoa học về bảo vệ dữ liệu cá nhân; nghiên cứu, ứng dụng tiến bộ khoa học và công nghệ về bảo vệ dữ liệu cá nhân để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân.

9. Triển khai các hoạt động hợp tác quốc tế về bảo vệ dữ liệu cá nhân.

Điều 35. Trách nhiệm của Bộ Quốc phòng

1. Phối hợp với Bộ Công an, các cơ quan, tổ chức có liên quan bố trí lực lượng, phương tiện để bảo vệ dữ liệu cá nhân, phát hiện, ngăn chặn các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý.

2. Trong phạm vi chức năng, nhiệm vụ được giao, chủ trì, phối hợp với Bộ Công an thực hiện đánh giá kết quả công tác bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý; thúc đẩy áp dụng các biện pháp bảo vệ dữ liệu cá nhân; nghiên cứu, ứng dụng các công nghệ bảo mật tiên tiến trong xử lý và bảo vệ dữ liệu cá nhân phục vụ hoạt động quốc phòng; thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý theo quy định của pháp luật.

3. Tổ chức tuyên truyền, phổ biến, giáo dục pháp luật và kiến thức, kỹ năng bảo vệ dữ liệu cá nhân cho sĩ quan, quân nhân chuyên nghiệp, cán bộ, công chức, viên chức thuộc phạm vi quản lý.

4. Thanh tra, kiểm tra, giám sát, xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.

Điều 36. Trách nhiệm của Bộ Khoa học và Công nghệ

1. Phối hợp với Bộ Công an trong xây dựng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân; quy chuẩn kỹ thuật khử nhận dạng dữ liệu cá nhân, ẩn danh dữ liệu cá nhân được ban hành và áp dụng tại Việt Nam.

2. Phối hợp với Bộ Công an và các cơ quan có liên quan trong việc nghiên cứu, phát triển, làm chủ, ứng dụng các biện pháp bảo vệ dữ liệu cá nhân áp dụng các công nghệ tiên tiến, công nghệ cao, công nghệ chiến lược, hình thành các giải pháp, sản phẩm, dịch vụ bảo vệ dữ liệu cá nhân trong quá trình phát triển chính phủ số, kinh tế số, xã hội số thông qua các chương trình khoa học và công nghệ.

Điều 37. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ

1. Thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật.

2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này.

3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.

4. Bố trí nhân sự và bộ phận bảo vệ dữ liệu cá nhân tại các đơn vị thuộc phạm vi quản lý; bảo đảm đáp ứng năng lực, phù hợp với vị trí việc làm và yêu cầu chuyên môn về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

5. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.

6. Tổ chức tuyên truyền, phổ biến pháp luật, bồi dưỡng chuyên môn, kỹ năng cho cán bộ, công chức, viên chức và các đơn vị thuộc phạm vi quản lý về bảo vệ dữ liệu cá nhân.

7. Phối hợp với Bộ Công an trong công tác thanh tra, kiểm tra, giám sát, xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý.

8. Phối hợp với Bộ Công an, Bộ Khoa học và Công nghệ trong việc xây dựng hướng dẫn và triển khai áp dụng các tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân cho các đơn vị, tổ chức, cá nhân thuộc phạm vi quản lý.

Điều 38. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương

1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.

2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.

3. Bố trí nhân sự và bộ phận bảo vệ dữ liệu cá nhân tại các đơn vị thuộc phạm vi quản lý; bảo đảm đáp ứng điều kiện năng lực, phù hợp với vị trí việc làm và yêu cầu chuyên môn về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.

5. Tổ chức tuyên truyền, phổ biến pháp luật và kiến thức, kỹ năng bảo vệ dữ liệu cá nhân cho cán bộ, công chức, viên chức, người dân và doanh nghiệp trên địa bàn.

6. Tổ chức bồi dưỡng nâng cao năng lực cho đội ngũ làm công tác bảo vệ dữ liệu cá nhân tại các cấp hành chính; lồng ghép nội dung bảo vệ dữ liệu cá nhân trong các chương trình cải cách hành chính và chuyển đổi số.

7. Xây dựng hệ thống thống kê, tổng hợp và báo cáo định kỳ về tình hình bảo vệ dữ liệu cá nhân tại địa phương gửi cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo quy định.

Điều 39. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân

1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là đơn vị trực thuộc Bộ Công an, có trách nhiệm giúp Bộ trưởng Bộ Công an thực hiện chức năng quản lý nhà nước về bảo vệ dữ liệu cá nhân.

2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân là nơi cung cấp thông tin tuyên truyền chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; hỗ trợ hướng dẫn, nâng cao nhận thức, kỹ năng bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân; tiếp nhận và xử lý phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Điều 40. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân

1. Kinh phí thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.

2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.

3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 41. Quy định về việc áp dụng khoản 2, khoản 3 của Điều 38 Luật Bảo vệ dữ liệu cá nhân

1. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 của Luật Bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

2. Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 của Luật Bảo vệ dữ liệu cá nhân, trừ hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

Điều 42. Hiệu lực và trách nhiệm thi hành

1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.

2. Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân hết hiệu lực kể từ ngày Nghị định này có hiệu lực thi hành.

3. Sửa đổi khoản 2 Điều 16 của Nghị định số 165/2025/NĐ-CP ngày 30 tháng 6 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu như sau:

“2. Việc bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng là dữ liệu cá nhân thực hiện theo quy định của Luật Bảo vệ dữ liệu cá nhân và văn bản quy định chi tiết thi hành.

Trường hợp chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới là dữ liệu cá nhân, chủ quản dữ liệu cốt lõi, dữ liệu quan trọng thực hiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của pháp luật về bảo vệ dữ liệu cá nhân; không phải thực hiện đánh giá rủi ro, đánh giá tác động chuyên, xử lý dữ liệu xuyên biên giới theo quy định của Nghị định này.”

4. Bộ Công an chịu trách nhiệm hướng dẫn, kiểm tra, đôn đốc việc thực hiện Nghị định này.

5. Bộ trưởng các bộ, Thủ trưởng cơ quan ngang bộ, cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này.

Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- HĐND, UBND các tỉnh, thành phố trực thuộc trung ương;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng Dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Kiểm toán nhà nước;
- Ủy ban Trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan trung ương của các tổ chức chính trị - xã hội;
- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu: VT, KSTT (02b).

TM. CHÍNH PHỦ
KT. THỦ TƯỚNG
PHÓ THỦ TƯỚNG

Nguyễn Hòa Bình

PHỤ LỤC

DANH MỤC HỒ SƠ VÀ BIỂU MẪU
(Kèm theo Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ)

Mẫu số 01a	Thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đối với tổ chức
Mẫu số 01b	Thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đối với cá nhân
Mẫu số 02a	Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với tổ chức
Mẫu số 02b	Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với cá nhân
Mẫu số 03a	Thông báo cập nhật hồ sơ đánh giá tác động đối với tổ chức
Mẫu số 03b	Thông báo cập nhật hồ sơ đánh giá tác động đối với cá nhân
Mẫu số 04	Đơn đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Mẫu số 05	Quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Mẫu số 06	Đơn đề nghị cấp lại, cấp đổi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Mẫu số 07	Quyết định thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Mẫu số 08	Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Mẫu số 09	Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
Mẫu số 10	Báo cáo đánh giá tác động xử lý dữ liệu cá nhân

Mẫu số 01a

TÊN TỔ CHỨC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

THÔNG BÁO
GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

Kính gửi: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an.

Thực hiện quy định về bảo vệ dữ liệu cá nhân, ...........................¹ xin gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, như sau:

1. Thông tin về tổ chức, doanh nghiệp

- Tên giao dịch tiếng Việt - Tên viết tắt tiếng Việt: .....................................................

- Tên giao dịch tiếng Anh - Tên viết tắt tiếng Anh: .....................................................

- Địa chỉ trụ sở chính: ................................................................................................

- Địa chỉ trụ sở giao dịch: ..........................................................................................

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ...... do .... cấp ngày ... tháng ... năm ... tại ...

- Mã số thuế: .......................................................................

- Điện thoại: ................................. Website: ...............................................................

- Bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân của bên chuyển dữ liệu cá nhân: ..............................................

Họ và tên: ....................................................................................................................

Chức vụ: ......................................................................................................................

Số điện thoại liên lạc (cố định và di động): .................................................................

Email: ..........................................................................................................................

2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

a) ......................................................................................................................

b) ......................................................................................................................

3. Cam kết

....................² xin cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới cùng các tài liệu kèm theo và cam kết thực hiện đúng các quy định của pháp luật.

Nơi nhận:
- Như trên;
...

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

^{______________________________}

¹ Tên tổ chức, doanh nghiệp.

² Tên tổ chức, doanh nghiệp.

Mẫu số 01b

	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
	......, ngày ... tháng ... năm ...

THÔNG BÁO
GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

Kính gửi: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an.

Thực hiện quy định về bảo vệ dữ liệu cá nhân, Tôi xin gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, như sau:

1. Thông tin về người nộp hồ sơ

- Tên cá nhân: ..........................................................................................................

- Địa chỉ: ...................................................................................................................

Số CMTND/Thẻ căn cước công dân/Hộ chiếu.........................................................

cấp ngày ........./......../.............. tại...........................................................................

- Số điện thoại:........................................................................................................

- Email:....................................................................................................................

- Đơn vị công tác (nếu có):......................................................................................

2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

a) .....................................................................................................................................

b) ......................................................................................................................................

3. Cam kết

Tôi xin cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của nội dung thay đổi cùng các tài liệu kèm theo và cam kết thực hiện đúng các quy định của pháp luật.

NGƯỜI NỘP HỒ SƠ
(Ký, ghi rõ họ tên)

Mẫu số 02a

TÊN TỔ CHỨC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

THÔNG BÁO
GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Kính gửi: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an

Thực hiện quy định về bảo vệ dữ liệu cá nhân, .......................¹ xin gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:

1. Thông tin về tổ chức, doanh nghiệp

- Tên tổ chức, doanh nghiệp (tiếng Việt - tiếng nước ngoài):..................................

- Địa chỉ trụ sở chính:....................................................................................................

- Địa chỉ trụ sở giao dịch:...............................................................................................

- Loại hình doanh nghiệp (trong nước/ngoài nước):......................................................

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ....... do .... cấp ngày ... tháng ... năm ... tại ...

- Mã số thuế:.............................................................................................................

- Người đại diện theo pháp luật:...............................................................................

- Điện thoại: ............................... Website:................................................................

- Bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân:.....................................................................................................

Họ và tên:...................................................................................................................

Chức vụ:....................................................................................................................

Số điện thoại liên lạc (cố định và di động):................................................................

Email:..........................................................................................................................

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

a) .........................................................................................................................

b) .........................................................................................................................

3. Cam kết

........................² xin cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cùng các tài liệu kèm theo và cam kết thực hiện đúng các quy định của pháp luật.

Nơi nhận:
- Như trên;
...

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

^{______________________________}

¹ Tên tổ chức, doanh nghiệp.

² Tên tổ chức, doanh nghiệp.

Mẫu số 02b

	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
	.......... , ngày ... tháng ... năm ...

THÔNG BÁO
GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Kính gửi: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an.

Thực hiện quy định về bảo vệ dữ liệu cá nhân, Tôi xin gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:

1. Thông tin về người nộp hồ sơ

- Tên cá nhân: ........................................................................................

- Địa chỉ: .................................................................................................

Số CMTND/Thẻ căn cước công dân/Hộ chiếu..................................................................

cấp ngày ........./........./................. tại................................................................................

- Số điện thoại:.................................................................................................................

- Email:............................................................................................................................

- Đơn vị công tác (nếu có):...............................................................................................

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

a) ...........................................................................................................................

b) ...........................................................................................................................

3. Cam kết

NGƯỜI NỘP HỒ SƠ
(Ký, ghi rõ họ tên)

Mẫu số 03a

TÊN TỔ CHỨC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

THÔNG BÁO
THAY ĐỔI NỘI DUNG HỒ SƠ ........¹

Kính gửi: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an.

Thực hiện quy định về bảo vệ dữ liệu cá nhân, ....................² xin gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như sau:

1. Thông tin về tổ chức, doanh nghiệp

- Tên tổ chức, doanh nghiệp:............................................................................

- Địa chỉ trụ sở chính:........................................................................................

- Địa chỉ trụ sở giao dịch:..................................................................................

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ......... do .... cấp ngày ... tháng ... năm ... tại ...

- Mã số thuế: ............................................................................

- Điện thoại: ....................................... Website............................................................

- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:....................................................

Họ và tên:......................................................................................................................

Chức danh:.....................................................................................................................

Số điện thoại liên lạc (cố định và di động):.....................................................................

Email:.............................................................................................................................

2. Mô tả tóm tắt thay đổi nội dung hồ sơ

- Nội dung thay đổi:.......................................................................................................

- Lý do thay đổi:.............................................................................................................

3. Tài liệu kèm theo

a) ..............................................................................................................................

b) ..............................................................................................................................

4. Cam kết

..........................³ xin cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của nội dung thay đổi cùng các tài liệu kèm theo và cam kết thực hiện đúng các quy định của pháp luật.

Nơi nhận:
- Như trên;
...

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

^{_____________________________}

¹ Tên hồ sơ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

² Tên tổ chức, doanh nghiệp.

³ Tên tổ chức, doanh nghiệp.

Mẫu số 03b

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

....., ngày ... tháng ... năm ....

THÔNG BÁO
THAY ĐỔI NỘI DUNG HỒ SƠ........¹

Kính gửi: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an

1. Thông tin về người gửi hồ sơ

- Tên cá nhân:..........................................................................................................

- Địa chỉ:...............................................................................................................

Số CMTND/Thẻ căn cước công dân/Hộ chiếu....................................................
cấp ngày ...../...../..... tại .........................................................................................................

- Số điện thoại:..........................................................................................................

- Email:......................................................................................................................

- Đơn vị công tác (nếu có):........................................................................................

2. Mô tả tóm tắt thay đổi nội dung hồ sơ

- Nội dung thay đổi:.....................................................................................................

- Lý do thay đổi:...........................................................................................................

3. Tài liệu kèm theo

a) .................................................................................................................................

b) .................................................................................................................................

4. Cam kết

NGƯỜI NỘP HỒ SƠ
(Ký, ghi rõ họ tên)

^{______________________________}

¹ Tên hồ sơ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Mẫu số 04

TÊN TỔ CHỨC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

ĐƠN ĐỀ NGHỊ CẤP GIẤY CHỨNG NHẬN
ĐỦ ĐIỀU KIỆN KINH DOANH DỊCH VỤ XỬ LÝ DỮ LIỆU CÁ NHÂN

Kính gửi: Bộ Công an.

Căn cứ Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.....................¹ xin gửi Bộ Công an đơn đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, như sau:

1. Thông tin về tổ chức đề nghị cấp Giấy chứng nhận

- Tên giao dịch tiếng Việt - Tên viết tắt tiếng Việt:......................................................

- Tên giao dịch tiếng Anh - Tên viết tắt tiếng Anh:......................................................

- Địa chỉ trụ sở chính:.................................................................................................

- Địa chỉ trụ sở giao dịch:...........................................................................................

- Mã số thuế:............................................................................

- Điện thoại: ........................................... Fax:...........................................................

- Website: ........................................................ Email:...............................................

- Tên và địa chỉ liên hệ của người đại diện theo pháp luật:

....................................................................................................................................

- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:..................................................

(1) Họ và tên:.............................................................................................................

Chức danh:...............................................................................................................

Số điện thoại liên lạc:................................................................................................

Email:........................................................................................................................

(2) Họ và tên:.............................................................................................................

Chức danh:...............................................................................................................

Số điện thoại liên lạc:...............................................................................................

Email:........................................................................................................................

(3) Họ và tên:............................................................................................................

Chức danh:...............................................................................................................

Số điện thoại liên lạc:................................................................................................

Email:....................................................................................................................

2. Danh mục các dịch vụ xử lý dữ liệu cá nhân xin cấp Giấy chứng nhận

STT	Tên dịch vụ	Phạm vi, lĩnh vực cung cấp
1
2

3. Hồ sơ đề nghị cấp Giấy chứng nhận

STT	Tên tài liệu	Số lượng	Ghi chú
1
2
3
...

4. Cam kết

...........................² xin cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của đơn đề nghị cùng các tài liệu kèm theo và cam kết thực hiện đúng các quy định của pháp luật.

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

^{______________________________}

¹ Tên tổ chức, doanh nghiệp.

² Tên tổ chức, doanh nghiệp.

Mẫu số 05

BỘ CÔNG AN -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

GIẤY CHỨNG NHẬN
ĐỦ ĐIỀU KIỆN KINH DOANH DỊCH VỤ XỬ LÝ DỮ LIỆU CÁ NHÂN
..................................

Căn cứ Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân;

Căn cứ Nghị định số 02/2025/NĐ-CP ngày 18 tháng 02 năm 2025 của Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và tổ chức bộ máy của Bộ Công an;

Xét hồ sơ đề nghị cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân ngày... tháng... năm ... của........................⁽¹⁾ ;

Theo đề nghị của................................................................................................

CHỨNG NHẬN

Điều 1. ..............................⁽¹⁾ đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân có thông tin như sau:

1. Tên giao dịch của doanh nghiệp bằng tiếng Việt hoặc tiếng nước ngoài:

............................................................................................................................................

2. Họ và tên người đại diện theo pháp luật.........................................................................

3. Giấy phép đăng ký doanh nghiệp/quyết định thành lập số:............................................. cấp ngày... tháng... năm.......; cơ quan cấp:...............................................

4. Mã số thuế:........................................................................................................................

5. Địa chỉ trụ sở chính tại Việt Nam:......................................................................................

6. Số điện thoại:.....................................................................................................................

7. E-mail:................................................................................................................................

Điều 2. ...........................⁽¹⁾phải thực hiện đúng các quy định tại Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân và các quy định khác của pháp luật có liên quan.

Điều 3. Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân này có hiệu lực kể từ ngày ký.

THỦ TRƯỞNG CƠ QUAN
(Ký, đóng dấu, ghi rõ chức vụ, họ tên)

⁽¹⁾ Tên tổ chức đề nghị.

Mẫu số 06

TÊN TỔ CHỨC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

ĐƠN ĐỀ NGHỊ CẤP LẠI/CẤP ĐỔI GIẤY CHỨNG NHẬN
ĐỦ ĐIỀU KIỆN KINH DOANH DỊCH VỤ XỬ LÝ DỮ LIỆU CÁ NHÂN

Kính gửi: Bộ Công an.

Căn cứ Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân số ................... ngày ..../..../...... của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.

.......................¹ xin gửi Bộ Công an đơn đề nghị cấp lại/cấp đổi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, như sau:

1. Thông tin về tổ chức đề nghị cấp Giấy chứng nhận

- Tên giao dịch tiếng Việt - Tên viết tắt tiếng Việt:....................................................

- Tên giao dịch tiếng Anh - Tên viết tắt tiếng Anh:....................................................

- Địa chỉ trụ sở chính:................................................................................................

- Địa chỉ trụ sở giao dịch:...........................................................................................

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ........ do .... cấp ngày ... tháng ... năm ... tại ...

- Mã số thuế:........................................................................................

- Điện thoại: ............................. Fax: ......................................................................

- Website: ..................................................... Email: ...................................................

- Tên và địa chỉ liên hệ của người đại diện theo pháp luật:

.......................................................................................................................................

- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:.....................................................

(1) Họ và tên:.................................................................................................................

Chức danh:...................................................................................................................

Số điện thoại liên lạc:....................................................................................................

Email:............................................................................................................................

(2) Họ và tên:................................................................................................................

Chức danh:...................................................................................................................

Số điện thoại liên lạc:...................................................................................................

Email:............................................................................................................................

(3) Họ và tên:................................................................................................................

Chức danh:...................................................................................................................

Số điện thoại liên lạc:....................................................................................................

Email:............................................................................................................................

2. Nội dung cấp lại/thay đổi

- Lý do cấp lại/thay đổi Giấy chứng nhận:

......................................................................................................................................

- Nội dung thay đổi Giấy chứng nhận:

......................................................................................................................................

3. Giấy tờ và tài liệu kèm theo

a) ..................................................................................................................................

b) ..................................................................................................................................

4. Cam kết

........................² xin cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của đơn đề nghị cùng các tài liệu kèm theo và cam kết tuân thủ các quy định của pháp luật.

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

^{______________________________}

¹ Tên tổ chức, doanh nghiệp.

² Tên tổ chức, doanh nghiệp.

Mẫu số 07

BỘ CÔNG AN -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

QUYẾT ĐỊNH

Về việc thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân

...............................................

Căn cứ Nghị định số 02/2025/NĐ-CP ngày 18 tháng 02 năm 2025 của Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và tổ chức bộ máy của Bộ Công an;

Theo đề nghị của....................................................................................................

QUYẾT ĐỊNH:

Điều 1. Thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân có thông tin như sau:

1. Số Giấy chứng nhận: .................. cấp ngày.... tháng.... năm..............

2. Tên tổ chức:..........................................................................................................

3. Họ và tên người đại diện theo pháp luật...............................................................

4. Mã số thuế:.......................................................................................................

5. Địa chỉ trụ sở chính tại Việt Nam:......................................................................

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 3. Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao và tổ chức có tên tại Điều 1 chịu trách nhiệm thi hành Quyết định này.

Nơi nhận:
- Như Điều 3;
- Lưu: VT, A05.

THỦ TRƯỞNG CƠ QUAN
(Ký, đóng dấu, ghi rõ chức vụ, họ tên)

Mẫu số 08

TÊN TỔ CHỨC -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số:.......	......, ngày ... tháng ... năm ...

THÔNG BÁO
VI PHẠM QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN

Kính gửi: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an.

Thực hiện quy định về bảo vệ dữ liệu cá nhân, .......................¹xin gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Bộ Công an thông báo vi phạm quy định bảo vệ dữ liệu cá nhân, như sau:

1. Thông tin về tổ chức, doanh nghiệp

- Tên tổ chức, doanh nghiệp:...................................................................................

- Địa chỉ trụ sở chính:...............................................................................................

- Địa chỉ trụ sở giao dịch:..........................................................................................

- Mã số thuế:.........................................................................

- Điện thoại: ........................... Website:...............................................................

- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:

Họ và tên:................................................................................................................

Chức danh:..............................................................................................................

Số điện thoại liên lạc:...............................................................................................

Email:.......................................................................................................................

2. Mô tả hành vi vi phạm quy định bảo vệ dữ liệu cá nhân

- Thời gian:...............................................................................................................

- Địa điểm:................................................................................................................

- Hành vi:..................................................................................................................

- Tổ chức, cá nhân liên quan:...................................................................................

- Các loại dữ liệu cá nhân và số lượng dữ liệu liên quan:........................................

- Nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân:................................................

Họ và tên:..................................................................................................................

Chức danh:.................................................................................................................

Số điện thoại liên lạc:..................................................................................

Email:..........................................................................................................................

- Hậu quả xảy ra:..........................................................................................................

- Biện pháp áp dụng:....................................................................................................

3. Tài liệu kèm theo

a) ..................................................................................................................................

b) ..................................................................................................................................

4. Cam kết

.........................² xin cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của thông báo cùng các tài liệu kèm theo và cam kết tuân thủ các quy định của pháp luật.

Nơi nhận:
- Như trên;
...

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

^{______________________________}

¹ Tên tổ chức, doanh nghiệp.

² Tên tổ chức, doanh nghiệp.

Mẫu 09

HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG
CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

PHẦN A. HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI CỦA BÊN CHUYỂN

I. THÔNG TIN CƠ BẢN CỦA BÊN CHUYểN

Tên tổ chức/cá nhân (tiếng Việt):

Tên tổ chức/cá nhân (nước ngoài):

Tên tổ chức/cá nhân (viết tắt):

Mã số thuế:

Địa chỉ (trụ sở chính):

Điện thoại:

Lĩnh vực kinh doanh có xử lý dữ liệu cá nhân (kèm theo mã ngành đăng ký kinh doanh tương ứng):

Số lượng chi nhánh, văn phòng đại diện:

Email:

Website:

Bộ phận/Nhân sự bảo vệ dữ liệu cá nhân của tổ chức, cá nhân

8.1

Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có, kèm theo hợp đồng sử dụng dịch vụ):

Tên tổ chức: Mã số thuế:

Người đại diện theo pháp luật:

Địa chỉ: Điện thoại:

Email: Website:

8.2

Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có, kèm theo hợp đồng sử dụng dịch vụ):

Họ và tên

Đơn vị công tác

Số điện thoại

Email

8.3

Bộ phận/ nhân sự bảo vệ dữ liệu cá nhân nội bộ của tổ chức (kèm theo bản sao quyết định hoặc văn bản thể hiện việc chỉ định, phân công và giấy tờ chứng minh đáp ứng điều kiện tại Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân)

Tên Bộ phận:

Điện thoại Bộ phận: Email Bộ phận:

Tên người đứng đầu Bộ phận/ Tên nhân sự: Chức vụ:

Điện thoại di động: Email cá nhân:

II.

HOẠT ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

1.1. Chuyển giao dữ liệu cá nhân thu thập, lưu trữ tại Việt Nam đến hệ thống máy chủ đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

(Ghi rõ các loại, nhóm đối tượng chủ thể dữ liệu cá nhân như khách hàng, người lao động, ứng viên... kèm theo số lượng tính đến thời điểm nộp hồ sơ)

1.2. Lưu trữ, xử lý dữ liệu cá nhân trên dịch vụ điện toán đám mây của nhà cung cấp dịch vụ ở nước ngoài ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

....

1.3. Thu thập dữ liệu cá nhân của cá nhân sử dụng dịch vụ tại Việt Nam và chuyển đến nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để tiếp tục xử lý ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

....

1.4. Chuyển dữ liệu cá nhân xuyên biên giới thông qua đối tác, đại lý trung gian tại Việt Nam ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

....

1.5.Trường hợp khác (nêu cụ thể) ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

....

Luồng chuyển dữ liệu cá nhân xuyên biên giới (nêu rõ đối tượng chủ thể, mục đích chuyển, có chuyển dữ liệu cá nhân nhạy cảm hay không và hoạt động xử lý sau khi chuyển tương ứng; mô hình hóa sơ đồ quy trình và hệ thống chuyển dữ liệu cá nhân xuyên biên giới)

Loại dữ liệu cá nhân được xử lý

Tổng số loại dữ liệu cá nhân cơ bản:

Tổng số loại dữ liệu cá nhân nhạy cảm:

3.1.

Dữ liệu cá nhân cơ bản (căn cứ Điều 3 Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân; tích √ vào loại dữ liệu cá nhân quy định)

Họ, chữ đệm và tên khai sinh

Địa chỉ liên hệ

Tên gọi khác (nếu có)

Quốc tịch

Ngày, tháng, năm sinh

Hình ảnh của cá nhân

Ngày, tháng, năm chết hoặc mất tích

Số điện thoại

Giới tính

Số định danh cá nhân

Nơi sinh

Số hộ chiếu

Nơi đăng ký khai sinh

Số giấy phép lái xe

Nơi đăng ký thường trú

Số biển số xe

Nơi đăng ký tạm trú

Tình trạng hôn nhân

Nơi ở hiện tại

Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ chồng)

Quê quán

Thông tin về tài khoản số của cá nhân

Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc các mục trên

3.2.

Dữ liệu cá nhân nhạy cảm (căn cứ khoản 1 Điều 4 Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân; tích √ vào loại dữ liệu cá nhân quy định)

Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc

Vị trí của cá nhân được xác định qua dịch vụ định vị

Quan điểm chính trị

Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân

Quan điểm tôn giáo, tín ngưỡng

Hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân

Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình

Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng

Tình trạng sức khỏe

Thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng

Dữ liệu sinh trắc học, đặc điểm di truyền

Thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác

Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân

Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng

Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật

Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ

Nội dung quy định về việc lưu trữ dữ liệu cá nhân (kèm theo văn bản thể hiện chính sách, quy định lưu trữ dữ liệu cá nhân)

Nội dung quy định về việc xóa, hủy dữ liệu cá nhân (kèm theo văn bản thể hiện chính sách, quy định xóa, hủy dữ liệu cá nhân)

Chuyển giao dữ liệu cá nhân (theo quy định tại Điều 17 Luật Bảo vệ dữ liệu cá nhân)

Có ☐ / Không: ☐

Chuyển giao dữ liệu cá nhân có thu phí:

Có ☐ / Không: ☐

Tham gia hoạt động giao dịch trên sàn dữ liệu:

Có ☐ / Không: ☐

Kinh doanh dịch vụ xử lý dữ liệu cá nhân:

Có ☐ / Không: ☐

Danh mục dịch vụ xử lý dữ liệu cá nhân tổ chức cung cấp:

Dịch vụ cung cấp và vận hành hệ thống, phần mềm tự động để thay mặt Bên kiểm soát, Bên kiểm soát và xử lý tiến hành xử lý dữ liệu cá nhân

Dịch vụ phân tích và khai thác dữ liệu cá nhân, gồm: sử dụng các công cụ phân tích để tìm kiếm thông tin, xu hướng và mẫu từ dữ liệu cá nhân; áp dụng các phương pháp khai thác dữ liệu để trích xuất giá trị từ dữ liệu cá nhân, dự đoán hành vi người dùng hoặc tối ưu hóa dịch vụ

Dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm của chủ thể dữ liệu cá nhân

Dịch vụ mã hóa dữ liệu cá nhân trong quá trình truyền tải và lưu trữ

Dịch vụ thu thập, xử lý dữ liệu cá nhân trực tuyến từ trang web, ứng dụng, phần mềm và mạng xã hội

Dịch vụ xử lý dữ liệu cá nhân tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo

Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm chăm sóc sức khỏe, theo dõi sức khỏe, dịch vụ y tế

Dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân

Dịch vụ thu thập, xử lý dữ liệu cá nhân qua ứng dụng, phần mềm giáo dục có yếu tố giám sát như điểm danh, ghi hình, chấm điểm hành vi, nhận diện cảm xúc

Biện pháp bảo vệ dữ liệu cá nhân

9.1

Phương án bảo đảm an toàn dữ liệu cá nhân (nêu rõ các phương án đang triển khai để bảo đảm an toàn dữ liệu cá nhân)

9.2

Biện pháp bảo vệ dữ liệu cá nhân (nêu rõ các biện pháp kỹ thuật, quản lý, đào tạo đã triển khai; việc áp dụng tiêu chuẩn liên quan đến bảo vệ dữ liệu cá nhân; sơ đồ thiết kế hệ thống và các biện pháp bảo vệ tương ứng)

9.3

Kiểm tra, đánh giá an ninh mạng, an toàn hệ thống thông tin, phương tiện, thiết bị nhằm bảo vệ dữ liệu cá nhân (nêu cụ thể nội dung, đối tượng, tần suất, mục đích)

9.4

Phương án bảo đảm an toàn dữ liệu cá nhân của Bên nhận dữ liệu cá nhân xuyên biên giới

Đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân (nêu cụ thể hình thức, thời điểm và kết quả đánh giá tuân thủ)

III

ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

Đánh giá tổng quan tình hình, hoạt động kinh doanh có liên quan tới việc chuyển dữ liệu cá nhân xuyên biên giới (nêu rõ sự cần thiết của hoạt động chuyển dữ liệu cá nhân xuyên biên giới trong lĩnh vực hoạt động của tổ chức; thực trạng xử lý dữ liệu cá nhân của tổ chức bao gồm thuận lợi và khó khăn, rủi ro trong việc chuyển dữ liệu cá nhân xuyên biên giới)

Đánh giá tác động việc chuyển dữ liệu cá nhân xuyên biên giới (đánh giá theo từng nội dung cụ thể, phân tích mỗi vấn đề, bao gồm mô tả thực trạng, phân tích yêu cầu, dự kiến tình huống phát sinh, nguyên nhân, giải pháp; đánh giá tác động các giải pháp đề xuất (tích cực, tiêu cực) của từng giải pháp; kiến nghị trên cơ sở so sánh tác động tích cực, tiêu cực. Tác động được đánh giá theo phương pháp định lượng, phương pháp định tính, nêu rõ hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.)

2.1.

Tác động đến chủ thể dữ liệu: được đánh giá trên cơ sở phân tích khả năng tác động trực tiếp của việc xử lý dữ liệu cá nhân tới các quyền và lợi ích của chủ thể dữ liệu

1. Xác định các khía cạnh bị tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

4. Đánh giá hiệu quả và tác động của các biện pháp đối với đối tượng chịu sự tác động trực tiếp của biện pháp và các đối tượng khác có liên quan

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

2.2

Tác động đến an ninh, an toàn thông tin hệ thống của tổ chức: được đánh giá dựa trên khả năng ảnh hưởng trực tiếp của hoạt động xử lý dữ liệu cá nhân tới mức độ bảo mật, toàn vẹn và khả năng sẵn sàng của hệ thống thông tin. Việc đánh giá tập trung vào các yếu tố liên quan đến nguy cơ lộ lọt, truy cập trái phép, thay đổi trái phép dữ liệu, gián đoạn vận hành hệ thống, mức độ đáp ứng của các biện pháp kỹ thuật hiện hữu và khả năng phát sinh lỗ hổng bảo mật trong quá trình xử lý dữ liệu.

1. Xác định các khía cạnh tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

2.3

Tác động đến an ninh quốc gia, trật tự an toàn xã hội: đánh giá trong trường hợp xử lý và chuyển dữ liệu cá nhân cơ bản của trên 100.000 chủ thể dữ liệu hoặc xử lý dữ liệu cá nhân nhạy cảm của trên 10.000 chủ thể dữ liệu. Việc đánh giá tập trung vào các yếu tố liên quan đến việc chuyển dữ liệu cá nhân xuyên biên giới với số lượng lớn có thể gây ảnh hưởng đến an ninh quốc gia, trật tự an toàn xã hội và các biện pháp bảo vệ dữ liệu cá nhân tương ứng.

1. Xác định các khía cạnh tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

Đánh giá mức độ bảo vệ dữ liệu cá nhân của Bên nhận dữ liệu cá nhân

3.1

Cách thức xử lý và lưu trữ dữ liệu của Bên nhận dữ liệu cá nhân (nêu rõ với từng luồng xử lý dữ liệu)

3.2

Phương án bảo đảm an toàn dữ liệu cá nhân của Bên nhận dữ liệu cá nhân (nêu rõ các phương án đang triển khai để bảo đảm an toàn dữ liệu cá nhân)

3.3

Các biện pháp bảo vệ dữ liệu cá nhân của Bên nhận dữ liệu cá nhân (nêu rõ các biện pháp kỹ thuật, quản lý, đào tạo được triển khai; việc áp dụng tiêu chuẩn liên quan đến bảo vệ dữ liệu cá nhân)

3.4

Đánh giá cách thức xử lý và lưu trữ, phương án bảo đảm và các biện pháp bảo vệ dữ liệu cá nhân của Bên nhận dữ liệu cá nhân (đánh giá mức độ đầy đủ, phù hợp và hiệu quả của cách thức xử lý, phương án bảo đảm an toàn dữ liệu cá nhân và các biện pháp bảo vệ dữ liệu cá nhân đã triển khai; mức độ đáp ứng yêu cầu bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam; khả năng phòng ngừa, phát hiện và ứng phó rủi ro, sự cố vi phạm dữ liệu cá nhân; nhận định rủi ro còn tồn tại và đề xuất biện pháp bổ sung, khắc phục nếu có)

PHỤ LỤC (Liệt kê danh sách tên các tài liệu, chính sách, quy trình, quy định, biểu mẫu kèm theo hồ sơ khai này)

PHẦN B. THÔNG TIN CÁC BÊN LIÊN QUAN TRONG HOẠT ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

I. THÔNG TIN CỦA BÊN THAY MẶT BÊN CHUYỂN THỰC HIỆN CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI (Kê khai trong trường hợp thỏa thuận cho bên khác trực tiếp chuyển dữ liệu cá nhân xuyên biên giới)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận chuyển dữ liệu cá nhân xuyên biên giới
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú
(Lý do, nội dung giải thích)

II. THÔNG TIN CỦA BÊN NHẬN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI (Kê khai phù hợp với mối quan hệ trong hoạt động chuyển và nhận dữ liệu cá nhân)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận chuyển dữ liệu cá nhân xuyên biên giới
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú
(Lý do, nội dung giải thích)

III. THÔNG TIN CỦA BÊN KHÁC (Các bên khác có liên quan trong hoạt động chuyển dữ liệu cá nhân xuyên biên giới)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận có liên quan
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú
(Lý do, nội dung giải thích)

Mẫu số 10

HỒ SƠ
ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

PHẦN A. HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN CỦA BÊN NỘP HỒ SƠ

I. THÔNG TIN CƠ BẢN CỦA BÊN NỘP HỒ SƠ

Tên tổ chức/cá nhân (tiếng Việt):

Tên tổ chức/cá nhân (nước ngoài):

Tên tổ chức/cá nhân (viết tắt):

Mã số thuế:

Địa chỉ (trụ sở chính):

Điện thoại:

Lĩnh vực kinh doanh có xử lý dữ liệu cá nhân (kèm theo mã ngành đăng ký kinh doanh tương ứng):

Số lượng chi nhánh, văn phòng đại diện:

Email:

Website:

Bộ phận/Nhân sự bảo vệ dữ liệu cá nhân của tổ chức, cá nhân

8.1

Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có, kèm theo hợp đồng sử dụng dịch vụ):

Tên tổ chức: Mã số thuế:

Người đại diện theo pháp luật:

Địa chỉ: Điện thoại:

Email: Website:

8.2

Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có, kèm theo hợp đồng sử dụng dịch vụ):

Họ và tên

Đơn vị công tác

Số điện thoại

Email

8.3

Bộ phận/ nhân sự bảo vệ dữ liệu cá nhân nội bộ của tổ chức (kèm theo bản sao quyết định hoặc văn bản thể hiện việc chỉ định, phân công)

Tên Bộ phận:

Điện thoại Bộ phận: Email Bộ phận:

Tên người đứng đầu Bộ phận/ Tên nhân sự: Chức vụ:

Điện thoại di động: Email cá nhân:

II.

HOẠT ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Xác định vai trò xử lý dữ liệu cá nhân của bên kê khai hồ sơ

1.1. Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

(Ghi rõ các loại đối tượng chủ thể như khách hàng, người lao động, ứng viên... kèm theo số lượng tính đến thời điểm nộp hồ sơ)

1.2. Bên xử lý dữ liệu cá nhân ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

-Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

1.3.Bên thứ ba ☐

- Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

-Tên đối tượng chủ thể dữ liệu cá nhân: Số lượng:

Luồng xử lý dữ liệu cá nhân theo vai trò (nêu rõ đối tượng chủ thể, mục đích xử lý, loại dữ liệu cá nhân cơ bản/ dữ liệu cá nhân nhạy cảm được xử lý và hoạt động xử lý tương ứng; mô hình hóa sơ đồ quy trình và hệ thống xử lý dữ liệu cá nhân)

1.1. Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân

1.2. Bên xử lý dữ liệu cá nhân

1.3. Bên thứ ba

Loại dữ liệu cá nhân được xử lý

Tổng số loại dữ liệu cá nhân cơ bản:

Tổng số loại dữ liệu cá nhân nhạy cảm:

3.1.

Họ, chữ đệm và tên khai sinh

Địa chỉ liên hệ

Tên gọi khác (nếu có)

Quốc tịch

Ngày, tháng, năm sinh

Hình ảnh của cá nhân

Ngày, tháng, năm chết hoặc mất tích

Số điện thoại

Giới tính

Số định danh cá nhân

Nơi sinh

Số hộ chiếu

Nơi đăng ký khai sinh

Số giấy phép lái xe

Nơi đăng ký thường trú

Số biển số xe

Nơi đăng ký tạm trú

Tình trạng hôn nhân

Nơi ở hiện tại

Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ chồng)

Quê quán

Thông tin về tài khoản số của cá nhân

Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc các mục trên

3.2.

Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc

Vị trí của cá nhân được xác định qua dịch vụ định vị

Quan điểm chính trị

Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân

Quan điểm tôn giáo, tín ngưỡng

Hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân

Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình

Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng

Tình trạng sức khỏe

Thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng

Dữ liệu sinh trắc học, đặc điểm di truyền

Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân

Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng

Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật

Vị trí của cá nhân được xác định qua dịch vụ định vị

Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc

Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ

Sự đồng ý của chủ thể dữ liệu cá nhân (mô tả cụ thể nội dung, hình thức, quy trình xin sự đồng ý của từng đối tượng chủ thể dữ liệu và kèm theo biểu mẫu liên quan)

Nội dung quy định về việc lưu trữ dữ liệu cá nhân (kèm theo văn bản thể hiện chính sách, quy định lưu trữ dữ liệu cá nhân)

Nội dung quy định về việc xóa, hủy dữ liệu cá nhân (kèm theo văn bản thể hiện chính sách, quy định xóa, hủy dữ liệu cá nhân)

Chuyển giao dữ liệu cá nhân (theo quy định tại Điều 17 Luật Bảo vệ dữ liệu cá nhân)

Có ☐ / Không: ☐

Chuyển giao dữ liệu cá nhân có thu phí:

Có ☐ / Không: ☐

Tham gia hoạt động giao dịch trên sàn dữ liệu:

Có ☐ / Không: ☐

Kinh doanh dịch vụ xử lý dữ liệu cá nhân:

Có ☐ / Không: ☐

Danh mục dịch vụ xử lý dữ liệu cá nhân tổ chức cung cấp:

Dịch vụ cung cấp và vận hành hệ thống, phần mềm tự động để thay mặt Bên kiểm soát, Bên kiểm soát và xử lý tiến hành xử lý dữ liệu cá nhân

Dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm của chủ thể dữ liệu cá nhân

Dịch vụ mã hóa dữ liệu cá nhân trong quá trình truyền tải và lưu trữ

Dịch vụ thu thập, xử lý dữ liệu cá nhân trực tuyến từ trang web, ứng dụng, phần mềm và mạng xã hội

Dịch vụ xử lý dữ liệu cá nhân tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo

Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm chăm sóc sức khỏe, theo dõi sức khỏe, dịch vụ y tế

Dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân

Chuyển dữ liệu cá nhân xuyên biên giới

Có ☐ / Không: ☐

Biện pháp bảo vệ dữ liệu cá nhân

11.1

Phương án bảo đảm an toàn dữ liệu cá nhân (nêu rõ các phương án đang triển khai để bảo đảm an toàn dữ liệu cá nhân)

11.2

11.3

Kiểm tra, đánh giá an ninh mạng, an toàn hệ thống thông tin, phương tiện, thiết bị nhằm bảo vệ dữ liệu cá nhân (nêu cụ thể nội dung, đối tượng, tần suất, mục đích)

Đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân (nêu cụ thể hình thức, thời điểm và kết quả đánh giá tuân thủ)

III

ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Đánh giá tổng quan tình hình, hoạt động kinh doanh có liên quan tới việc thu thập, xử lý dữ liệu cá nhân (nêu rõ sự cần thiết của hoạt động xử lý dữ liệu cá nhân trong lĩnh vực hoạt động của tổ chức; thực trạng xử lý dữ liệu cá nhân của tổ chức bao gồm thuận lợi và khó khăn, rủi ro trong việc xử lý dữ liệu cá nhân)

Đánh giá tác động việc xử lý dữ liệu cá nhân (đánh giá theo từng nội dung cụ thể, phân tích mỗi vấn đề, bao gồm mô tả thực trạng, phân tích yêu cầu, dự kiến tình huống phát sinh, nguyên nhân, giải pháp; đánh giá tác động các giải pháp đề xuất (tích cực, tiêu cực) của từng giải pháp; kiến nghị trên cơ sở so sánh tác động tích cực, tiêu cực. Tác động được đánh giá theo phương pháp định lượng, phương pháp định tính, nêu rõ hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.)

2.1.

1. Xác định các khía cạnh bị tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

2.2

1. Xác định các khía cạnh tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

2.3

Tác động đến an ninh quốc gia, trật tự an toàn xã hội: đánh giá trong trường hợp xử lý dữ liệu cá nhân cơ bản của trên 100.000 chủ thể dữ liệu hoặc xử lý dữ liệu cá nhân nhạy cảm của trên 10.000 chủ thể dữ liệu. Việc đánh giá tập trung vào các yếu tố liên quan đến việc xử lý dữ liệu cá nhân với số lượng lớn có thể gây ảnh hưởng đến an ninh quốc gia, trật tự an toàn xã hội và các biện pháp bảo vệ dữ liệu cá nhân tương ứng.

1. Xác định các khía cạnh tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

PHỤ LỤC (Liệt kê danh sách tên các tài liệu, chính sách, quy trình, quy định, biểu mẫu kèm theo hồ sơ khai này)

PHẦN B. THÔNG TIN CÁC BÊN LIÊN QUAN TRONG HOẠT ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

I. THÔNG TIN CỦA BÊN KIỂM SOÁT DỮ LIỆU CÁ NHÂN (Kê khai phù hợp với mối quan hệ trong hoạt động xử lý dữ liệu cá nhân)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận xử lý dữ liệu cá nhân
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú
(Lý do, nội dung giải thích)

II. THÔNG TIN CỦA BÊN XỬ LÝ DỮ LIỆU CÁ NHÂN (Kê khai phù hợp với mối quan hệ trong hoạt động xử lý dữ liệu cá nhân)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận xử lý dữ liệu cá nhân
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú
(Lý do, nội dung giải thích)

III. THÔNG TIN CỦA BÊN THỨ BA (Kê khai phù hợp với mối quan hệ trong hoạt động xử lý dữ liệu cá nhân)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận xử lý dữ liệu cá nhân
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú
(Lý do, nội dung giải thích)

Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro

Tải về Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân

Tải văn bản gốc Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân

THE GOVERNMENT OF VIETNAM -------	THE SOCIALIST REPUBLIC OF VIETNAM Independence - Freedom - Happiness ---------------
No. 356/2025/ND-CP	Hanoi, December 31, 2025

DECREE

ELABORATING ON CERTAIN ARTICLES AND IMPLEMENTATION MEASURES OF LAW ON PERSONAL DATA PROTECTION

Pursuant to the Law on Government Organization No. 63/2025/QH15;

Pursuant to the Law on Personal Data Protection No. 91/2025/QH15;

Pursuant to the Law on Digital Data No. 60/2024/QH15;

Pursuant to the Law on amendments to the Law on Bidding, Law on Public-Private Partnership Investment, Law on Customs, Law on Value-Added Tax, Law on Export and Import Duties, Law on Investment, Law on Public Investment, and Law on Management and Use of Public Property No. 90/2025/QH15;

At the request of the Minister of Public Security of Vietnam;

The Government of Vietnam hereby promulgates the Decree elaborating on certain articles and implementation measures of the Law on Personal Data Protection.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

GENERAL PROVISIONS

Article 1. Scope

This Decree elaborates on Clauses 2 and 3 Article 2; Clause 5 Article 4; Clause 3 Article 6; Clause 5 Article 9; Clause 3 Article 17; Clause 7 Article 20; Clause 7 Article 21; Clause 4 Article 22; Clause 5 Article 23; Clause 3 Article 27; Clause 6 Article 30; Point b Clause 4 Article 31; Clause 3 Article 33; Article 35; Clause 4 Article 38 of the Law on Personal Data Protection, and provides for measures to implement the Law regarding the research and development of personal data protection solutions, personal data protection authorities, the National Information Portal for Personal Data Protection; responsibilities of ministries, central authorities, and local authorities for personal data protection; funding for ensuring personal data protection activities.

Article 2. Regulated entities

1. Vietnamese agencies, organizations, and individuals;

2. Foreign agencies, organizations, and individuals in Vietnam;

3. Foreign agencies, organizations, and individuals directly participating in or involved in the processing of personal data of Vietnamese citizens and persons of Vietnamese origin without determined nationality residing in Vietnam who have been issued with identification certificates.

Article 3. List of basic personal data

Basic personal data includes:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Date of birth; date of death or missing;

3. Gender;

4. Place of birth; place of birth registration; place of permanent residence registration; place of temporary residence registration; current place of residence; hometown; contact address;

5. Nationality;

6. Images of the individual;

7. Phone number; personal identification number; passport number; driver’s license number; vehicle registration plate number;

8. Marital status;

9. Information on family relationships (parents, children, spouse);

10. Information on the individual’s digital accounts;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 4. List of sensitive personal data

1. Sensitive personal data includes:

a) Data revealing racial origin or ethnic origin;

b) Opinions on politics, religion, and belief;

c) Information on private life, personal secrets, and family secrets;

d) Health status;

dd) Biometric data and genetic characteristics;

e) Data revealing an individual’s sexual life or sexual orientation;

g) Data on crimes and violations of law collected and stored by law enforcement agencies;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

i) Login names and passwords for access to individuals’ electronic identification accounts; images of ID cards, citizen ID cards, or 9-digit ID cards;

k) Login names and passwords for access to bank accounts; bank card information; data on transaction history of bank accounts; financial and credit information and other information relating to financial activities and transaction history, securities, and insurance of clients at credit institutions, foreign bank branches, intermediary payment service providers, securities institutions, insurers, and other authorized organizations;

l) Data monitoring behavior and activities related to the use of telecommunications services, social networks, online communication services, and other services in cyberspace;

m) Other personal data that are required by law to be kept confidential or to which strict confidentiality measures must be applied.

2. In the course of processing sensitive personal data, agencies and organizations shall establish regulations on access authorization and restriction, processing procedures, and confidentiality measures.

Chapter II

REQUIREMENTS AND CONDITIONS FOR PERSONAL DATA PROTECTION

Article 5. Exercise of rights of personal data subject matters

1. The personal data controlling party and the personal data processing and controlling party shall develop clear procedures and forms for the exercise of the rights of the personal data subject matter, in accordance with personal data processing activities and the responsibilities of relevant units, and ensure that the personal data subject matter is informed of the procedures for exercising the rights prescribed in Clause 1 Article 4 of the Law on Personal Data Protection.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Depending on the nature and complexity of the request, where an extension of the processing time is required, only 1 extension may be granted for a period not exceeding 15 days. The personal data controlling party and the personal data processing and controlling party shall notify the personal data subject matter of the reasons for the extension and assume the responsibility for demonstrating that such extension is necessary and reasonable.

3. Upon receipt of a request from the personal data subject matter to view, modify, or request modification of personal data, or to obtain provision of personal data in accordance with the prescribed procedures, the personal data controlling party and the personal data processing and controlling party shall respond within 2 working days, fully provide information on the relevant procedures, and implement such request within 10 days. Where it is necessary to request the personal data processing party or a third party to modify the personal data of the personal data subject matter, such modification shall be carried out within 15 days.

Depending on the nature and complexity of the request, where an extension of the processing time is required, only 1 extension may be granted for a period not exceeding 10 days. The personal data controlling party and the personal data processing and controlling party shall notify the personal data subject matter of the reasons for the extension and assume the responsibility for demonstrating that such extension is necessary and reasonable.

4. Upon receipt of a request from the personal data subject matter for deletion of personal data in accordance with the prescribed procedures, the personal data controlling party and the personal data processing and controlling party shall respond within 2 working days, fully provide information on the relevant procedures, and implement such deletion within 20 days. Where it is necessary to request the personal data processing party or a third party to provide, delete, or restrict the processing of the personal data of the personal data subject matter, such actions shall be carried out within 30 days.

Depending on the nature and complexity of the request, where an extension of the processing time is required, only 1 extension may be granted for a period not exceeding 20 days. The personal data controlling party and the personal data processing and controlling party shall notify the personal data subject matter of the reasons for the extension and assume the responsibility for demonstrating that such extension is necessary and reasonable.

5. Upon receipt of a request from the personal data subject matter for the implementation of solutions and measures to protect their personal data in accordance with the prescribed procedures, the competent authority or the agency, organization, and individual related to personal data processing shall respond within 2 working days, fully provide information on the relevant procedures, and implement such solutions and measures within 15 days.

Article 6. Methods for expressing personal data subject matters' consent

1. Methods for obtaining the consent of the personal data subject matter shall ensure verifiability in identifying that the personal data subject matter has given consent, as well as the time and content of such consent, including:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) By recorded phone calls;

c) Consent syntax via mobile text messages;

d) Via email, websites, platforms, or applications with technical mechanisms established to obtain consent;

dd) Other appropriate methods that can be printed or reproduced in writing, including electronic forms or other verifiable formats.

2. The personal data controlling party and the personal data processing and controlling party shall store the consent of the personal data subject matter. In the event of a dispute, the burden of proof for the consent of the personal data subject matter shall rest with the personal data controlling party and the personal data processing and controlling party.

3. The personal data controlling party and the personal data processing and controlling party shall not establish default consent mechanisms or create unclear or misleading instructions that cause confusion between consent and non-consent for the personal data subject matter. Default settings shall ensure compliance with personal data protection principles and respect the rights of the personal data subject matter.

4. For obtaining consent to process sensitive personal data, the personal data subject matter shall be informed that the data to be processed constitutes sensitive personal data.

Article 7. Personal data transfer

1. Organizations and individuals transferring personal data under Points a, c, and d Clause 1 Article 17 of the Law on Personal Data Protection shall establish an agreement on the transfer of personal data with the personal data recipient, specifying the following contents:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Categories of the personal data subject matter and the type of personal data transferred, consistent with the purposes of transfer;

c) Personal data processing time limits; requirements for deletion and destruction of personal data after completion of the purposes of transfer;

d) Legal grounds for the transfer of personal data;

dd) Responsibilities for personal data protection during the transfer and processing of personal data;

e) Responsibilities for ensuring the exercise of the rights of the personal data subject matter;

g) Responsibilities for cooperation and compliance of the concerned parties in cases where violations of personal data protection regulations are detected.

2. The transfer of sensitive personal data shall be subject to physical confidentiality measures for storage and transmission devices, encryption measures, anonymization of personal data, and other confidentiality measures during the transfer process.

3. In cases where personal data is transferred under Points a and d Clause 1 Article 17 of the Law on Personal Data Protection, and fees are charged for providing services for the personal data subject matter or for serving the legitimate interests of the personal data subject matter, organizations and individuals shall comply with the following requirements:

a) Establish technical systems and transparent mechanisms enabling the personal data subject matter to give precise and explicit consent for each transfer, based on being fully informed of the purposes of transfer and the organizations or individuals receiving and processing personal data;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Limit the type of personal data transferred to the scope necessary for the purposes of transfer;

d) Refrain from collecting, storing, or establishing repositories of personal data from personal data transfer activities for purposes other than those consented to by the personal data subject matter;

dd) Clearly determine the roles of the personal data controlling party, the personal data processing party, and third parties in personal data transfer activities;

e) Enter into agreements on the transfer and processing of personal data before the transfer, and commit to responsibilities and obligations toward the personal data subject matter.

4. In cases of sharing personal data among departments within the same agency or organization for personal data processing consistent with established processing purposes, such agency or organization shall develop procedures for controlling the sharing and use of personal data in compliance with regulations, and implement measures to prevent internal personnel from illegally sharing personal data with third parties.

5. Personal data shall be de-identified before being transacted on data exchanges.

6. Agencies, organizations, and individuals providing personal data under Clause 2 Article 15 of the Law on Personal Data Protection, based on specific requests of the personal data subject matter, shall not be regarded as engaging in personal data transfer and shall not be subject to this Article.

Article 8. Personal data protection in finance, banking, and credit information activities

1. Organizations and individuals operating in the fields of finance, banking, and credit information activities shall be responsible for applying standards and technical regulations on personal data protection; technical regulations on de-identification and anonymization of personal data promulgated and applied in Vietnam; conducting periodic assessments of compliance with personal data protection regulations once per year; and recording system logs of all personal data processing activities.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) Purposes of personal data processing, including credit scoring, credit rating, credit information assessment, and creditworthiness assessment activities, if any;

b) Sources of collection of personal data and relevant parties involved in the collection and sharing of personal data;

c) Duration of storage of personal data;

d) Mechanisms and methods for withdrawal of consent and policies on deletion and destruction of personal data in accordance with regulations.

3. Within a period not exceeding 72 hours from the time of detecting leakage or loss of sensitive personal data of the personal data subject matter in the fields of finance, banking, and credit information activities, the organization or individual that directly collects personal data of the personal data subject matter shall be responsible for notifying the personal data protection authority and the personal data subject matter. The contents of such notification shall at least include the contents prescribed in Clause 1 Article 28 of this Decree.

Article 9. Personal data protection in big data processing

1. Big data processing containing personal data refers to personal data processing activities conducted on a large scale, based on a continuous basis, integrated from multiple different sources, and capable of analyzing behavior, predicting trends, or classifying users.

2. In cases of big data processing containing personal data, relevant agencies, organizations, and individuals shall have the following responsibilities:

a) Comply with personal data protection regulations throughout the data processing process, starting from the commencement of processing;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Develop policies on storage, deletion, and destruction of personal data that are appropriate and compliant with the law;

d) Organize periodic training, dissemination, and awareness-raising activities on personal data confidentiality and personal data protection measures for employees, particularly personnel directly involved in personal data processing; and enhance awareness of the importance of personal data protection within the organization;

dd) Enter into agreements with third parties, partners, and service providers to ensure full compliance with personal data protection regulations;

e) Establish appropriate notification and explanation mechanisms for the personal data subject matter regarding the use of their personal data in big data analytics systems.

3. Agencies, organizations, and individuals shall apply personal data protection measures during big data processing, including:

a) Applying measures to ensure cybersecurity, data confidentiality, and the prevention of personal data leakage during the storage, processing, and transmission of personal data;

b) Using strong authentication methods, requiring at least multi-factor authentication (passwords, PIN codes combined with one-time passwords, digital signature devices, or biometric factors), appropriate to the level of sensitivity of personal data; and implementing access authorization to ensure that only authorized persons may access personal data;

c) Implementing encryption and anonymization of personal data (being the process of separating data identifying a specific individual for separate storage and protection, whereby personal data after such process is used for processing without the ability to identify a specific individual) during the transfer and provision of personal data, except where specialized laws provide otherwise or where processing requires data in plaintext form for crime prevention and combat, anti-money laundering, assurance of national security, or settlement of clients’ complaints and disputes. In such cases, agencies and organizations shall apply additional confidentiality measures to ensure that personal data is not accessed or used illegally;

d) Conducting continuous supervision and using supervision tools to monitor personal data access activities and detect abnormal behavior;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 10. Personal data protection in artificial intelligence systems and metaverse

1. Organizations and individuals may use personal data for the research and development of self-learning algorithms, artificial intelligence systems, and other automated systems, provided that compliance with personal data protection regulations is ensured.

2. Data derived from artificial intelligence inference results, where such data can be used to identify or assist in identifying a specific individual, shall be subject to personal data protection measures in accordance with the law.

3. The personal data controlling party and the personal data processing and controlling party shall be responsible for notifying the personal data subject matter of automated personal data processing, explaining the operating principles of the algorithms and their impacts on the legitimate rights and interests of the personal data subject matter, and providing options enabling the personal data subject matter to exercise the right to opt out.

4. The metaverse is a digital universe combining aspects of social media, online gaming, augmented reality (AR), virtual reality (VR), the Internet, and cryptocurrencies, enabling users to interact through virtual reality technologies.

5. Organizations and individuals shall apply personal data protection measures in artificial intelligence systems and the metaverse, including:

a) Researching, developing, and implementing systems that meet cybersecurity standards and comprehensive data protection standards for artificial intelligence systems, with particular emphasis on information confidentiality, algorithm reliability, system stability, and cyberattack prevention capacity;

b) Establishing mechanisms for supervising the operation of artificial intelligence systems in two aspects: supervision by competent state authorities, and accountability toward the personal data subject matter of the personal data controlling party and the personal data processing and controlling party.

c) Developing personal data protection mechanisms in accordance with appropriate standards and developing supervision systems and early-warning mechanisms for cybersecurity threats;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

dd) Conducting periodic assessments of compliance with personal data protection regulations once per year.

6. The personal data subject matter shall have the right to modify, anonymize, and delete identification profiles, including in cases where platforms store behavioral history.

Article 11. Personal data protection in blockchain

1. Relevant agencies, organizations, and individuals shall comply with personal data protection regulations when processing personal data within blockchain, during the research and development of products, services, applications, and systems that use blockchain, and during the processing of personal data.

2. Agencies, organizations, and individuals shall apply personal data protection measures when processing personal data in blockchain, including:

a) Applying only encryption algorithms, hashing algorithms, and digital signature algorithms that ensure safety;

b) Refraining from directly storing personal data on the blockchain, and only storing such data where personal data has been de-identified or where hash values of personal data are stored;

c) Conducting periodic assessments of compliance with personal data protection regulations once per year.

Article 12. Personal data protection in cloud computing

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Organizations and individuals entering into contracts related to personal data processing with cloud computing service providers shall have the following responsibilities:

a) Specify in the contract compliance with the laws of Vietnam on personal data protection, provide information on the personal data protection unit and personnel, and comply with administrative procedures related to personal data protection in accordance with the law;

b) Identify personal data processing flows, the roles of the concerned parties in cloud computing service provision, and corresponding responsibilities;

c) Require confidentiality measures and technical and organizational measures, which shall be clearly stipulated in the contract;

d) Immediately notify the concerned parties of any changes that may affect personal data;

dd) Comply with personal data processing time limits and requirements for deletion and destruction of personal data;

e) Ensure the exercise of the rights of the personal data subject matter;

g) Fully implement technical measures to ensure that access to personal data is reasonably delegated.

3. Cloud computing service providers shall:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Require subcontractors to comply with personal data protection regulations and obligations in accordance with the law;

c) Apply technical and organizational measures at a level appropriate to the scale and extent of their personal data processing;

d) Conducting periodic assessments of compliance with personal data protection regulations once per year.

4. Personal data in cloud computing shall be encrypted both at rest and in transit, together with strict access authorization.

Article 13. Conditions applicable to personal data protection personnel and personal data protection units in agencies and organizations

1. The designation of personal data protection personnel or a personal data protection unit shall be made through an official written document of the relevant agency or organization, specifying the assignment, functions, tasks, entitlements, and other requirements relating to personal data protection within that agency or organization.

2. Personal data protection personnel designated by an agency or organization shall satisfy the following competency conditions:

a) Holding at least a college-level degree or higher;

b) Having at least 2 years of working experience (from the time of graduation) related to one of the following fields: legal affairs, information technology, cybersecurity, data security, risk management, compliance control, and personnel management/organization;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3. Where an agency or organization establishes a personal data protection unit, personnel within such unit shall satisfy the competency conditions specified in Clause 2 of this Article.

4. Agencies and organizations shall be responsible for assessing and selecting personnel for personal data protection.

5. Agencies and organizations shall enter into agreements on responsibility for confidentiality with personal data protection personnel, and may agree on cases of liability exemption where violations or damage occur to protected personal data.

6. Agencies and organizations that designate personal data protection personnel or establish a personal data protection unit shall be responsible for providing training and advanced training in personal data protection knowledge and skills for such personnel.

Article 14. Tasks of personal data protection units and personal data protection personnel within agencies and organizations

1. A personal data protection unit shall:

a) Organize the development of policies, procedures, regulations, and forms to ensure compliance with personal data protection laws;

b) Organize the exercise of the rights of the personal data subject matter;

c) Periodically organize assessments of the organization’s compliance with personal data protection laws through compliance assessment reports on the performance of statutory obligations, to propose measures to enhance compliance effectiveness and to prevent and control risks in personal data processing activities;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

dd) Develop plans and implement periodic training and advanced training in personal data protection within the agency or organization;

e) Organize the implementation of technical confidentiality measures for personal data, standards and regulations on personal data protection, and emergency response plans for personal data protection incidents;

g) Conduct research and propose decisions related to personal data protection.

2. Personal data protection personnel shall:

a) Advise on the development of policies, procedures, regulations, and forms to ensure compliance with personal data protection laws;

b) Participate in the exercise of the rights of the personal data subject matter;

c) Participate in periodic activities assessing compliance with personal data protection laws and propose measures to enhance compliance effectiveness and to prevent and control risks;

d) Prepare dossiers for impact assessments of cross-border transfer of personal data and impact assessments of personal data processing; receive and report violations of personal data protection; and fulfill other requirements of competent authorities in accordance with regulations;

dd) Participate in programs and training courses on personal data protection;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 15. Individuals providing personal data protection services

1. An individual providing personal data protection services is a person who satisfies the competency conditions specified in Clause 2 of this Article and is hired by an agency or organization to serve as personal data protection personnel.

2. An individual providing personal data protection services shall satisfy the following competency conditions:

a) Holding at least a college-level degree or higher;

b) Having at least 3 years of working experience (from the time of graduation) related to one of the following fields: legal affairs, personal data processing, cybersecurity, data security, risk management, and compliance control;

c) Having received training and in-depth training in legal knowledge and professional skills relating to personal data protection.

3. Agencies or organizations wishing to hire an individual providing personal data protection services shall review the competency conditions specified in Clause 2 of this Article, enter into a contract for the use of personal data protection personnel, and disclose information about such personal data protection personnel to the personal data subject matter and relevant parties.

4. An individual providing personal data protection services shall:

a) Provide services strictly within the scope and tasks stipulated in the contract or agreement;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Perform the deletion and destruction of personal data processed during service provision after completion of the contract and in accordance with the law.

Article 16. Organizations providing personal data protection services

1. An organization providing personal data protection services:

a) Is an organization or enterprise whose functions, tasks, or business lines fall within technology, legal services, or technology and legal consulting, and which is hired by an agency or organization to advise on compliance with personal data protection regulations and to perform personal data protection tasks in accordance with agreements;

b) Has at least 3 personnel satisfying the competency conditions specified in Clause 2 Article 15 of this Decree;

c) Has provided products and services related to confidentiality, cybersecurity, information technology, standards assessment, or consulting on personal data protection.

2. An organization providing personal data protection services shall prepare a competency dossier demonstrating its capacity to protect personal data and provide it for agencies or organizations wishing to use its services. The dossier shall specify business lines and fields, scale, scope, and experience in service provision, service provision policies, standards, qualifications, personnel capacity, and other relevant supporting documents.

3. Agencies or organizations wishing to hire personal data protection services shall review the competency dossier, enter into service contracts and personal data processing agreements with the personal data protection organization, and disclose information about such organization to the personal data subject matter and relevant parties.

4. Depending on actual needs, an agency or organization may concurrently designate personal data protection personnel, establish a personal data protection unit, and hire individuals or organizations providing personal data protection services.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6. An organization providing personal data protection services shall:

a) Provide services strictly within the scope and tasks stipulated in the contract or agreement;

b) Refrain from abusing the provision of services to commit violations of the law;

c) Perform the deletion and destruction of personal data processed during service provision after completion of the contract and in accordance with the law.

Chapter III

DOSSIERS AND PROCEDURES RELATING TO PERSONAL DATA

Article 17. Cross-border personal data transfer

1. The personal data controlling party, personal data processing and controlling party, personal data processing party, and third parties shall carry out cross-border transfer of personal data in the following cases:

a) Personal data storage activities involving the transfer of personal data collected and stored in Vietnam to server systems located outside the territory of the Socialist Republic of Vietnam or to cloud computing services of foreign service providers;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Personal data processing activities in which personal data collected in Vietnam is transferred to platforms outside the territory of the Socialist Republic of Vietnam for further processing.

2. The personal data protection authority shall decide to require the cross-border data transferring party to cease cross-border transfer of personal data in the following cases:

a) Where transferred personal data is discovered to be used for activities infringing on national defense or national security;

b) Where violations of personal data protection regulations occur that may cause harm to national defense or national security.

3. In cases other than those specified in Points a, b, and c Clause 6 Article 20 of the Law on Personal Data Protection, the following cases are not required to conduct an impact assessment of cross-border transfer of personal data:

a) Journalism and communication activities in accordance with the law;

b) Cross-border transfer of personal data that has been disclosed in accordance with the law;

c) Emergencies where it is genuinely necessary to provide personal data across borders to protect life, health, or property safety of individuals or to perform tasks and obligations as prescribed by law;

d) Cross-border transfer of personal data for cross-border personnel management in accordance with labor rules and regulations, and collective labor agreements as prescribed by law;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 18. Conditions, procedures, and dossier components for impact assessment of cross-border transfer of personal data

1. Agencies, organizations, and individuals carrying out the cross-border transfer of personal data as prescribed in Clause 1 Article 20 of the Law on Personal Data Protection shall prepare a dossier for the impact assessment of the cross-border transfer of personal data in accordance with this Article.

2. The dossier for the impact assessment of the cross-border transfer of personal data shall include:

a) A report on the impact assessment of the cross-border transfer of personal data in accordance with Form No. 09 in the Appendix of this Decree;

b) A copy of the personal data transfer contract or document evidencing binding obligations and responsibilities between organizations and individuals transferring and receiving personal data across borders;

c) Policies, procedures, regulations, forms, and other relevant documents on personal data protection of the agency, organization, or individual carrying out the cross-border transfer of personal data.

3. The report on the impact assessment of the cross-border transfer of personal data shall contain the following contents:

a) Information and contact details of the personal data transferring party, the personal data receiving party, the personal data processing party, and other parties related to the cross-border transfer of personal data;

b) Contact details of the personal data protection unit and personal data protection personnel; personal data protection service providers (if any) of the personal data transferring party and the personal data receiving party;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

d) Description and explanation of the obtaining of consent from the personal data subject matter, policies on storage, deletion, and destruction of personal data;

dd) Plans for ensuring personal data safety after the cross-border transfer, the applied personal data protection measures, and the applied personal data protection standards;

e) System diagrams and description of functions of systems storing and processing personal data after receipt of personal data transferred across borders;

g) Procedures for the onward transfer or provision of personal data by the cross-border personal data receiving party to third parties;

h) Results of self-assessment of compliance with personal data protection regulations by the agency, organization, or individual carrying out the cross-border transfer of personal data;

i) Assessment of the level of personal data protection of the personal data receiving party; the degree of impact and risks arising from the cross-border transfer and processing of personal data; potential adverse consequences or damages; and measures to mitigate or eliminate such risks.

4. The dossier for the impact assessment of the cross-border transfer of personal data shall be kept readily available for inspection and assessment by the personal data protection authority.

The cross-border personal data transferring party shall submit 1 original complete dossier online, in person, or by post to the personal data protection authority, together with Form No. 01a/01b in the Appendix of this Decree, within 60 days from the date of commencement of the cross-border transfer of personal data.

5. The personal data protection authority shall assess and issue results indicating whether the dossier for the impact assessment of the cross-border transfer of personal data meets or fails to meet requirements within 15 days.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

7. The cross-border personal data transferring party shall update and supplement the dossier for the impact assessment of the cross-border transfer of personal data in accordance with Article 20 of this Decree.

Article 19. Conditions, procedures, and dossier components for impact assessment of personal data processing

1. The personal data controlling party, the personal data processing and controlling party, and the personal data processing party shall prepare and retain their dossier for the impact assessment of personal data processing from the time personal data processing commences.

2. The dossier for the impact assessment of personal data processing of the personal data controlling party, the personal data processing and controlling party, and the personal data processing party shall include:

a) A report on the impact assessment of personal data processing in accordance with Form No. 10 in the Appendix of this Decree;

b) A copy of the contract or agreement on personal data processing, demonstrating binding obligations and responsibilities among organizations and individuals involved in personal data processing;

c) Policies, procedures, regulations, forms, and other relevant documents on personal data protection of the personal data controlling party, the personal data processing and controlling party, and the personal data processing party.

3. The report on the impact assessment of personal data processing shall include the following contents:

a) Information and contact details of the personal data controlling party, the personal data processing and controlling party, the personal data processing party, and third parties;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Description and explanation of the purposes of personal data processing, the types of personal data processed, detailed personal data processing activities, and a personal data flow diagram;

d) Description and explanation of the obtaining of consent from the personal data subject matter, policies on storage, deletion, and destruction of personal data;

dd) Plans for ensuring personal data safety, personal data protection measures, system design diagrams, and the applied personal data protection standards;

e) Results of assessment of compliance with personal data protection regulations;

g) Assessment of the level of impact and risks arising from personal data processing activities; potential adverse consequences or damages; and measures to mitigate or eliminate such risks.

4. The dossier for the impact assessment of personal data processing shall be kept readily available for inspection and assessment by the personal data protection authorities, and 1 original copy shall be submitted online, in person, or by post to the personal data protection authority together with Form No. 02a/02b in the Appendix of this Decree within 60 days from the date personal data processing is carried out.

5. The personal data protection authority shall assess and issue results indicating whether the dossier for impact assessment of personal data processing meets or fails to meet requirements within 15 days.

6. Where the dossier for the impact assessment of personal data processing is incomplete or non-compliant, the personal data protection authority shall assess and request the personal data controlling party, the personal data processing and controlling party, or the personal data processing party to complete the dossier within 30 days. In the event of failure to complete the dossier in accordance with regulations, the personal data protection authority shall consider applying regulations on penalties for administrative violations in the field of personal data protection.

7. The personal data controlling party, the personal data processing and controlling party, and the personal data processing party shall update and supplement the dossier for the impact assessment of personal data processing in accordance with Article 20 of this Decree.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. The dossier for cross-border transfer of personal data and the dossier for the impact assessment of personal data processing shall be updated periodically every 6 months from the date of initial submission in the following cases:

a) Where new purposes for cross-border transfer of personal data or new purposes for personal data processing arise;

b) Where the personal data controlling party, the personal data processing and controlling party, the personal data processing party, and/or third parties arise or are changed.

2. The following changes shall be updated immediately within 10 days:

a) When an agency, organization, or unit undergoes reorganization, operational termination, dissolution, or bankruptcy in accordance with the law;

b) Where there is a change in information relating to personal data protection service providers;

c) Where business lines, professions, or services related to personal data processing that have been registered in the dossier for the impact assessment of personal data processing or the dossier for the impact assessment of the cross-border transfer of personal data arise or are changed.

3. The updating of the dossier for the impact assessment of personal data processing and the dossier for the impact assessment of the cross-border transfer of personal data shall be carried out in accordance with Form No. 03a/03b in the Appendix of this Decree and submitted online, in person, or by post to the personal data protection authority.

Article 21. Personal data processing services

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Services for scoring, rating, and assessing the creditworthiness of the personal data subject matter.

3. Services for collecting and processing personal data online from websites, applications, software, and social networks.

4. Services for collecting and processing personal data through websites, applications, and software for health care and health monitoring, as well as healthcare services.

5. Services for collecting and processing personal data through educational applications and software with supervision elements such as attendance tracking, video recording, behavior scoring, and emotion recognition.

6. Services for analysis and utilization of personal data, including: using analytical tools to identify information, trends, and patterns from personal data; applying data mining methods to extract value from personal data, predict user behavior, or optimize services.

7. Services for encrypting personal data during transmission and storage.

8. Services for automated personal data processing based on big data technology, artificial intelligence, blockchain, and the metaverse.

9. Platform application services providing personal location data.

Article 22. Conditions for organizations engaged in personal data processing services

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Conditions relating to personnel:

a) Ensuring that the head responsible for professional matters related to personal data processing of the organization is a Vietnamese citizen permanently residing in Vietnam;

b) Having a management and executive team meeting professional requirements for personal data processing;

c) Having at least 3 personnel satisfying the competency conditions specified in Clause 2 Article 13 of this Decree;

3. Having infrastructure, equipment systems, facilities, and technology suitable for personal data processing services.

4. Having satisfactory results for the dossier for the impact assessment of personal data processing and the dossier for the impact assessment of the cross-border transfer of personal data in cases involving cross-border transfer of personal data.

Article 23. Responsibilities of organizations providing personal data processing services

1. Fully comply with the law on personal data protection, and with the responsibilities and obligations of the personal data processing and controlling party and the personal data processing party.

2. Establish a personal data protection risk management framework appropriate to the services provided.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4. Apply relevant standards and technical regulations concerning data security, personal data protection, and cybersecurity.

5. Develop regulations related to the responsibilities and entitlements of the organization for personal data processing.

6. Ensure that personal data processing is conducted for the correct purposes; limit the collection, transfer, and storage of personal data in accordance with the law; and prevent unauthorized access, collection, use, disclosure, or similar risks in personal data processing activities.

7. When acting as a personal data processing party, the organization shall require the personal data controlling party to obtain consent from the personal data subject matter in accordance with regulations before providing services, and ensure that the personal data subject matter is informed of the types of personal data processed, the processing purposes, as well as the organization providing personal data processing services.

8. Organizations providing personal data processing services shall perform organization identity authentication in accordance with the law on electronic identification and authentication.

Article 24. Authority to issue, re-issue, replace, and revoke certificates of eligibility for providing personal data processing services

1. The Ministry of Public Security of Vietnam shall issue, re-issue, replace, and revoke certificates of eligibility for providing personal data processing services.

2. The Minister of Public Security of Vietnam shall assign the personal data protection authorities to carry out the issuance, re-issuance, replacement, and revocation of certificates of eligibility for providing personal data processing services in accordance with regulations.

Article 25. Dossiers and procedures for issuing certificates of eligibility for providing personal data processing services

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) An application for the Certificate of eligibility for providing personal data processing services using Form No. 04 in the Appendix of this Decree;

b) A copy of the enterprise registration certificate;

c) A document designating a personal data protection unit or a contract for the use of personal data protection services in accordance with regulations;

d) A proposal for the issuance of the Certificate of eligibility for providing personal data processing services;

dd) Diplomas and other documents proving the qualifications of personnel specified in Point c Clause 2 Article 22 of this Decree;

e) The organization is not required to submit the document specified in Point b of this Clause if a state authority can access it on a database.

2. The proposal for the issuance of the certificate of eligibility for providing personal data processing services includes the following contents:

a) Necessity and objectives;

b) Proposed contents and fields for approval;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

d) Expected scale of personal data processing activities;

dd) Personal data protection risk management framework;

e) Periodic compliance status and credibility assessment plan for personal data protection;

g) Application of standards and technical regulations related to data security and personal data protection;

h) Plan for the use of electronic identification and authentication services;

i) Responsibilities and entitlements of the organization in personal data processing;

k) Qualified personnel in accordance with regulations.

3. The organization shall submit 1 set of the application dossier for the certificate of eligibility for providing personal data processing services online, in person, or by post to the personal data protection authority.

The personal data protection authority shall assess whether the application dossier meets requirements or does not meet requirements within 10 days. If the dossier is incomplete or non-compliant, the personal data protection authority shall notify the organization in writing, specifying the reasons, and request supplementation and completion of the dossier within 15 days.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 26. Dossiers and procedures for re-issuing and replacing certificates of eligibility for providing personal data processing services

1. Re-issuance shall be applied in cases where the physical certificate of eligibility for providing personal data processing services is lost or damaged:

a) Where an organization requests re-issuance of the physical certificate, it shall submit an application using Form No. 05 in the Appendix of this Decree online, in person, or by post to the personal data protection authority.

b) Within 5 working days from the date of receipt of a valid application, the personal data protection authority shall review and re-issue the certificate of eligibility for providing personal data processing services; in case of refusal, a written notice specifying the reasons shall be issued.

2. Replacement shall be applied in cases of incorrect information or changes to the contents of the certificate of eligibility for providing personal data processing services:

a) The dossier includes: an application using Form No. 06 in the Appendix of this Decree; and documents and materials proving the incorrect information or changes to the contents stated in the issued certificate.

b) The organization shall submit 1 set of the above dossier online, in person, or by post to the personal data protection authority. Within 5 working days from the date of receipt of a complete dossier as prescribed in Point a of this Clause, the personal data protection authority shall review and decide the replacement of the certificate of eligibility for providing personal data processing services; in case of refusal, a written notice specifying the reasons shall be issued.

Article 27. Revocation of certificates of eligibility for providing personal data processing services

1. The certificate of eligibility for providing personal data processing services shall be revoked in the following cases:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Failure to conduct business activities for 12 months or more;

c) Dissolution or bankruptcy in accordance with law;

d) Failure to remedy violations related to personal data protection, information safety, cybersecurity, or data security at the request of a competent state authority;

dd) Voluntary request for suspension or termination of operations.

2. The personal data protection authority shall decide the revocation of the certificate of eligibility for providing personal data processing services using Form No. 07 in the Appendix of this Decree.

3. The organization providing personal data processing services shall return the issued certificate to the personal data protection authority within 5 working days from the date of receipt of the revocation decision.

4. Upon the issuance of a decision on the revocation of the certificate of eligibility for providing personal data processing services, the personal data protection authority shall announce it on the National Information Portal for Personal Data Protection.

Article 28. Contents of notification of violations of personal data protection regulations

1. A notification of violations of personal data protection regulations includes the following contents:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Contact details of the personal data protection unit, personnel, or personal data protection service providers;

c) Description of possible consequences and damage resulting from the violation of personal data protection regulations;

d) Description of measures proposed to remedy and mitigate the harm caused by the violation of personal data protection regulations.

2. The personal data controlling party, the personal data processing and controlling party, and the third-party processing party shall submit notifications of violations of personal data protection regulations to the personal data protection authority or via the National Information Portal for Personal Data Protection using Form No. 08 in the Appendix of this Decree.

Article 29. Notification of violations involving personal location data and biometric data

1. Upon a personal data violation incident involving location data or biometric data, the personal data controlling party or the personal data processing and controlling party shall:

a) Notify the affected personal data subject matter within no more than 72 hours from the time the violation is detected;

b) Report to the competent state authority in accordance with Article 28 of this Decree;

c) Record, store, and update violation dossiers for inspection, examination, and handling purposes. Organizations shall retain violation dossiers for a minimum period of 5 years from the date the incident is fully remedied.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) The time and method of detection of the violation;

b) The type of data affected (location data, biometric data, or both);

c) The level of severity and potential risks to the legitimate rights and interests of the personal data subject matter;

d) Measures that have been, are being, and will be implemented to remedy the incident and mitigate damage;

dd) Instructions for the personal data subject matter to implement subsequent preventive and protective measures;

e) Contact information of the personal data protection unit or personnel, or personal data protection service providers; and the unit responsible for receiving and handling personal data incidents within the organization.

3. In cases where an organization or individual is unable to notify all affected personal data subject matters within the time limit specified in Clause 1 of this Article due to technical or emergency reasons, it shall:

a) Make a public notification via the organization’s official electronic means, including its website or application;

b) Send notifications to the relevant personal data subject matters immediately once technical conditions permit.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Chapter IV

IMPLEMENTATION OF PERSONAL DATA PROTECTION

Article 30. Responsibilities for implementing international cooperation in personal data protection

1. Personal data protection authorities shall assist the Ministry of Public Security of Vietnam in implementing international cooperation in personal data protection.

2. Ministries, ministerial agencies, and governmental agencies shall carry out international cooperation in personal data protection in sectors and fields under their management in accordance with the law and their assigned functions and tasks.

3. Provincial People’s Committees shall implement international cooperation in personal data protection in accordance with the law and their assigned functions and tasks.

Article 31. Inspection of personal data protection activities

1. Inspection of personal data protection activities shall be conducted regularly or on an ad hoc basis in the following cases:

a) Where there are grounds to suspect violations of the law on personal data protection;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) When performing state management in accordance with the law.

2. Subjects of inspection of personal data protection activities include:

a) Agencies, organizations, and individuals engaged in personal data processing activities;

b) Personal data processing service providers;

c) Agencies, organizations, and individuals required to conduct personal data processing impact assessments and cross-border personal data transfer impact assessments;

d) Agencies, organizations, and individuals related to cases or incidents involving violations of personal data protection regulations.

3. Contents of inspection of personal data protection activities include:

a) The current status of compliance with personal data protection requirements;

b) Activities related to personal data processing impact assessments and cross-border personal data transfer impact assessments;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4. Personal data protection authorities shall issue inspection decisions and notify the inspection subjects specified in Clause 2 of this Article, at least 15 days in advance, of the time, contents, and composition of the inspection team. In cases of ad hoc inspections conducted to promptly verify, detect, and prevent violations of the law on personal data protection, personal data protection authorities may conduct inspections immediately without prior notice.

5. Inspection subjects shall fully prepare the inspection contents in accordance with Clause 3 of this Article and specific requirements stated in the inspection decisions issued by the personal data protection authorities.

Article 32. Research and development of personal data protection solutions

Agencies, organizations, enterprises, and individuals shall participate in the research, development, and application of personal data protection solutions, including:

1. Development of software systems and equipment for personal data protection;

2. Methods for appraising software and equipment for personal data protection to meet prescribed standards;

3. Methods for testing hardware and software supplied to ensure the correct performance of intended functions;

4. Recording and management of compliance with personal data protection regulations;

5. Settlement of risks of leakage or loss of personal data;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

7. Processing of personal data for statistical and scientific purposes;

8. Solutions enabling the personal data subject matter to control their own personal data, provide and share data under selective disclosure mechanisms, and apply advanced and strategic technologies in accordance with international standards and technical regulations;

9. Personal data protection standards;

10. Other personal data protection solutions in accordance with the law.

Article 33. Contents of state management of personal data protection

1. Promulgating, within assigned authority, or submitting to competent state authorities for promulgation, legislative documents on personal data protection; and organizing the implementation of the law on personal data protection.

2. Developing and organizing the implementation of strategies, policies, schemes, projects, programs, and plans on personal data protection.

3. Providing guidelines for agencies, organizations, and individuals on personal data protection measures, procedures, standards, and technical regulations in accordance with the law.

4. Disseminating and educating on the law on personal data protection; conducting communications and dissemination of knowledge and skills related to personal data protection.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6. Conducting inspection, examination, commendation, settlement of complaints and denunciations, and handling of violations of the law on personal data protection in accordance with the law.

7. Conducting statistics, information collection, and reporting on the status of personal data protection and implementation of the law on personal data protection to the competent state authorities.

8. Organizing preliminary reviews, final reviews, and scientific research on personal data protection; researching and applying scientific and technological advances in personal data protection.

9. Conducting international cooperation in personal data protection.

Article 34. Responsibilities of Ministry of Public Security of Vietnam

1. Assist the Government of Vietnam in ensuring consistent state management of personal data protection.

2. Develop, promulgate, or submit to competent state authorities for promulgation, and guide the implementation of legislative documents guiding the implementation of the law on personal data protection.

3. Guide and implement personal data protection activities, and protect the rights of personal data subject matters against acts that violate the law on personal data protection.

4. Take charge and cooperate with the Ministry of Science and Technology of Vietnam in developing standards and technical regulations on personal data protection, as well as technical regulations on de-identification and anonymization of personal data to be promulgated and applied in Vietnam.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6. Implement dissemination, communications, and legal education activities, and provide guidelines and training to enhance knowledge and skills on personal data protection for personal data protection forces.

7. Conduct assessments, preliminary reviews, and final reviews of the results of personal data protection activities of relevant agencies, organizations, and individuals.

8. Promote scientific research on personal data protection; research and apply scientific and technological advances related to personal data protection for innovation.

9. Implement international cooperation activities in personal data protection.

Article 35. Responsibilities of Ministry of National Defense of Vietnam

1. Cooperate with the Ministry of Public Security of Vietnam and relevant agencies and organizations in deploying forces and equipment to protect personal data, and to detect and prevent acts violating regulations on personal data protection within its management scope.

2. Within assigned functions and tasks, take charge and cooperate with the Ministry of Public Security of Vietnam in assessing the results of personal data protection activities of agencies, organizations, and individuals under its management; promote the application of personal data protection measures; research and apply advanced security technologies in the processing and protection of personal data for national defense activities; and conduct international cooperation in personal data protection within its management scope in accordance with the law.

3. Organize dissemination, communications, and legal education on personal data protection, as well as knowledge and skills training in personal data protection for commissioned officers, professional soldiers, cadres, civil servants, and public employees under its management.

4. Conduct inspection, examination, supervision, and handling of violations of regulations on personal data protection with respect to agencies, organizations, and individuals under the management scope of the Ministry of National Defense of Vietnam in accordance with the law and assigned functions and tasks.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Cooperate with the Ministry of Public Security of Vietnam in developing standards and technical regulations on personal data protection, as well as technical regulations on de-identification and anonymization of personal data to be promulgated and applied in Vietnam.

2. Cooperate with the Ministry of Public Security of Vietnam and relevant agencies in researching, developing, mastering, and applying personal data protection measures utilizing advanced, high-level, and strategic technologies, and in forming personal data protection solutions, products, and services in the course of developing the digital government, digital economy, and digital society through scientific and technological programs.

Article 37. Responsibilities of ministries, ministerial agencies, and governmental agencies

1. Perform the state management of personal data protection for sectors and fields within their management scope in accordance with the law.

2. Develop and implement contents and tasks concerning personal data protection prescribed in this Decree.

3. Incorporate personal data protection regulations in the development and implementation of tasks of ministries and sectors.

4. Arrange personnel and establish personal data protection units within units under their management; ensure that capacity requirements are met and are appropriate to job positions and professional requirements for personal data protection in accordance with the law.

5. Allocate funding for personal data protection activities in accordance with the current budget regulations.

6. Organize dissemination and education of the law, and advanced training in professional matters and skills for cadres, civil servants, public employees, and units under their management concerning personal data protection.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

8. Cooperate with the Ministry of Public Security of Vietnam and the Ministry of Science and Technology of Vietnam in developing guidelines and implementing the application of standards and technical regulations on personal data protection for agencies, organizations, and individuals under their management.

Article 38. Responsibilities of People’s Committees of provinces

1. Perform the state management of personal data protection for sectors and fields within their management in accordance with the law on personal data protection

2. Implement the regulations on personal data protection prescribed in this Decree.

3. Arrange personnel and establish personal data protection units within units under their management; ensure that capacity requirements are met and are appropriate to job positions and professional requirements for personal data protection in accordance with the law.

4. Allocate funding for personal data protection activities in accordance with the current budget regulations.

5. Organize dissemination and communications of the law, and knowledge and skills concerning personal data protection for cadres, civil servants, public employees, citizens, and enterprises within their areas.

6. Organize advanced training to enhance capacity for personnel engaged in personal data protection work at all administrative levels; integrate personal data protection content into administrative reform and digital transformation programs.

7. Develop statistical systems, aggregate information, and submit periodic reports on the local status of personal data protection to the personal data protection authorities in accordance with regulations.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Personal data protection authorities are units under the Ministry of Public Security of Vietnam, responsible for assisting the Minister of Public Security of Vietnam in performing the state management function concerning personal data protection.

2. The National Information Portal for Personal Data Protection serves as a platform for providing information to disseminate the CPV’s guidelines and policies and the State’s personal data protection laws; supporting guidance, enhancing awareness, and improving personal data protection skills for agencies, organizations, and individuals; receiving and handling feedback and petitions from relevant agencies, organizations, and individuals; and carrying out other activities in accordance with the law on personal data protection.

Article 40. Funding for ensuring personal data protection activities

1. Funding for the implementation of personal data protection includes the state budget, contributions from domestic and foreign agencies, organizations, and individuals, revenue from the provision of personal data protection services, international aid, and other legal sources of revenue.

2. Funding for personal data protection activities of state agencies is covered by the state budget and allocated in the annual state budget estimates. The management and use of state budget funding are carried out in accordance with the law on the state budget.

3. Funding for personal data protection activities of organizations and enterprises shall be allocated by the organizations and enterprises themselves and implemented in accordance with regulations.

Chapter V

IMPLEMENTATION

Article 41. Regulations on application of Clause 2 and Clause 3 of Article 38 of Law on Personal Data Protection

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Household businesses and micro-enterprises are not required to comply with Article 21, Article 22, and Clause 2 Article 33 of the Law on Personal Data Protection, excluding those providing personal data processing services, directly processing sensitive personal data, or processing personal data from the time their scale reaches 100 thousand or more personal data subject matters, based on the accumulated total volume of personal data processed.

Article 42. Entry into force and implementation responsibilities

1. This Decree comes into force as of January 1, 2026.

2. Decree No. 13/2023/ND-CP dated April 17, 2023 of the Government of Vietnam shall cease to have effect from the effective date of this Decree.

3. Amendments to Clause 2 Article 16 of Decree No. 165/2025/ND-CP dated June 30, 2025 of the Government of Vietnam:

“2. The protection of core data and important data constituting personal data shall be implemented in accordance with the Law on Personal Data Protection and documents elaborating such Law.

In cases of cross-border transfer or processing of core data and important data that constitutes personal data, the governing body of core data and important data shall prepare dossiers for personal data processing impact assessment and cross-border personal data transfer impact assessment in accordance with the law on personal data protection, and not be required to conduct risk assessment or impact assessment for cross-border data transfer or processing as prescribed in this Decree.”

4. The Ministry of Public Security of Vietnam shall provide guidelines, inspect, and urge the implementation of this Decree.

5. Ministers, Directors of ministerial agencies, Directors of governmental agencies, Presidents of People’s Committees of provinces, and relevant agencies, organizations, and individuals shall implement this Decree.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

ON BEHALF OF THE GOVERNMENT
PP. PRIME MINISTER
DEPUTY PRIME MINISTER

Nguyen Hoa Binh

APPENDIX

LIST OF DOSSIERS AND FORMS
(Enclosed with Decree No. 356/2025/ND-CP dated December 31, 2025 of the Government of Vietnam)

Form No. 01a

Notification of submission of dossier for cross-border personal data transfer impact assessment (for organizations)

Form No. 01b

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Form No. 02a

Notification of submission of dossier for personal data processing impact assessment (for organizations)

Form No. 02b

Notification of submission of dossier for personal data processing impact assessment (for individuals)

Form No. 03a

Notification of update of impact assessment dossier (for organizations)

Form No. 03b

Notification of update of impact assessment dossier (for individuals)

Form No. 04

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Form No. 05

Decision on issuance of the Certificate of eligibility for providing personal data processing services

Form No. 06

Application for re-issuance or replacement of the Certificate of eligibility for providing personal data processing services

Form No. 07

Decision on revocation of the Certificate of eligibility for providing personal data processing services

Form No. 08

Notification of violations of regulations on personal data protection

Form No. 09

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Form No. 10

Report on personal data processing impact assessment

Form No. 01a

NAME OF ORGANIZATION
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

No.:.......

Location, date

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

To: The personal data protection authority, Ministry of Public Security of Vietnam.

In compliance with regulations on personal data protection, ...........................¹ hereby submits to the personal data protection authority, Ministry of Public Security of Vietnam, the dossier for cross-border personal data transfer impact assessment, as follows:

1. Information on the organization/enterprise

- Vietnamese trading name - Vietnamese abbreviated name: .....................................................

- English trading name - English abbreviated name: .....................................................

- Address of headquarters: ................................................................................................

- Address of transaction office: ..........................................................................................

- Establishment decision/Enterprise registration certificate/Business registration certificate/Investment registration certificate No.: …… issued by ……… on ……(date) at …

- Tax identification number: .......................................................................

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Personal data protection unit/personnel or personal data protection service provider of the personal data transferring party: ..............................................

Full name: ....................................................................................................................

Position: ......................................................................................................................

Contact phone number (landline and mobile): .................................................................

Email: ..........................................................................................................................

2. Dossier for cross-border personal data transfer impact assessment (including forms, documents, written materials, and enclosed images)

a) ......................................................................................................................

b) ......................................................................................................................

3. Commitment

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

ON BEHALF OF THE ORGANIZATION/ENTERPRISE
(Signature, full name, seal)

^{______________________________}

¹ Name of organization/enterprise.

² Name of organization/enterprise.

Form No. 01b

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

Location, date

NOTIFICATION
OF SUBMISSION OF DOSSIER FOR CROSS-BORDER PERSONAL DATA TRANSFER IMPACT ASSESSMENT

To: The personal data protection authority, Ministry of Public Security of Vietnam.

In compliance with regulations on personal data protection, I hereby submit to the personal data protection authority, Ministry of Public Security of Vietnam, the dossier for cross-border personal data transfer impact assessment, as follows:

1. Information on the applicant

- Full name: ..........................................................................................................

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9-digit ID card/Citizen ID card/Passport No.:.........................................................

Issued on ……… / ……… / ……… at ..........................................................................

- Phone number:.......................................................................................................

- Email:....................................................................................................................

- Affiliated organization (if any): ......................................................................................

2. Dossier for cross-border personal data transfer impact assessment (including forms, documents, written materials, and enclosed images)

a) .....................................................................................................................................

b) ......................................................................................................................................

3. Commitment

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

APPLICANT
(Signature, full name)

Form No. 02a

NAME OF ORGANIZATION
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

No.:.......

Location, date

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

NOTIFICATION
OF SUBMISSION OF DOSSIER FOR PERSONAL DATA PROCESSING IMPACT ASSESSMENT

To: The personal data protection authority, Ministry of Public Security of Vietnam

In compliance with regulations on personal data protection, .......................¹ hereby submits to the personal data protection authority, Ministry of Public Security of Vietnam, the dossier for personal data processing impact assessment, as follows:

1. Information on the organization/enterprise

- Name of organization/enterprise (Vietnamese - foreign language):..................................

- Address of headquarters:....................................................................................................

- Address of transaction office:...............................................................................................

- Type of enterprise (domestic/foreign):......................................................

- Establishment decision/Enterprise registration certificate/Business registration certificate/Investment registration certificate No.: …… issued by ……… on ……(date) at …

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Legal representative:...............................................................................

- Phone number: ............................... Website:................................................................

- Personal data protection unit/personnel or personal data protection service provider:.....................................................................................................

Full name:...................................................................................................................

Position:....................................................................................................................

Contact phone number (landline and mobile):................................................................

Email:..........................................................................................................................

2. Dossier for personal data processing impact assessment (including forms, documents, written materials, and enclosed images)

a) .........................................................................................................................

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3. Commitment

........................² hereby commits to taking responsibility for the accuracy and legality of the dossier for personal data processing impact assessment and the enclosed documents, and commits to fully complying with the law.

ON BEHALF OF THE ORGANIZATION/ENTERPRISE
(Signature, full name, seal)

^{______________________________}

¹ Name of organization/enterprise.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Form No. 02b

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

.......... , Location, date

NOTIFICATION
OF SUBMISSION OF DOSSIER FOR PERSONAL DATA PROCESSING IMPACT ASSESSMENT

To: The personal data protection authority, Ministry of Public Security of Vietnam.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Information on the applicant

- Full name: ........................................................................................

- Address: .................................................................................................

9-digit ID card/Citizen ID card/Passport No.:.................................................................

Issued on ……… / ……… / ……… at ..........................................................................

- Phone number:.......................................................................................................

- Email:............................................................................................................................

- Affiliated organization (if any): ......................................................................................

2. Dossier for personal data processing impact assessment (including forms, documents, written materials, and enclosed images)

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) ...........................................................................................................................

3. Commitment

I hereby commit to taking responsibility for the accuracy and legality of the contents of the dossier and the enclosed documents, and commit to fully complying with the law.

APPLICANT
(Signature, full name)

Form No. 03a

NAME OF ORGANIZATION
-------

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

No.:.......

Location, date

NOTIFICATION
OF AMENDMENTS TO DOSSIER ........¹

To: The personal data protection authority, Ministry of Public Security of Vietnam.

In compliance with regulations on personal data protection,....................² hereby submits to the personal data protection authority, Ministry of Public Security, the dossier for personal data processing impact assessment, as follows:

1. Information on the organization/enterprise

- Name of organization /enterprise:............................................................................

- Address of headquarters:....................................................................................................

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Establishment decision/Enterprise registration certificate/Business registration certificate/Investment registration certificate No.: …… issued by ……… on ……(date) at …

- Tax identification number: ............................................................................

- Phone Number: ....................................... Website............................................................

- Personnel responsible for personal data protection:....................................................

Full name:...................................................................................................................

Title:....................................................................................................................

Contact phone number (landline and mobile):................................................................

Email:.............................................................................................................................

2. Brief description of the amended content of the dossier

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Reason for amendment:.......................................................................................................

3. Enclosed documents

a) ..............................................................................................................................

b) ..............................................................................................................................

4. Commitment

..........................³ hereby commits to taking responsibility for the accuracy and legality of the amended content and the enclosed documents, and commits to fully complying with the law.

ON BEHALF OF THE ORGANIZATION/ENTERPRISE
(Signature, full name, seal)

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

^{_____________________________}

¹Name of the dossier: Dossier for personal data processing impact assessment or dossier for cross-border personal data transfer impact assessment.

² Name of organization/enterprise.

³ Name of organization/enterprise.

Form No. 03b

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

....., Location, date

NOTIFICATION
OF AMENDMENTS TO DOSSIER ........¹

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

In compliance with regulations on personal data protection, I hereby submit to the personal data protection authority, Ministry of Public Security of Vietnam, the dossier for personal data processing impact assessment, as follows:

1. Information on the applicant

- Full name:.................................................................................................

- Address:............................................................................................................

9-digit ID card/Citizen ID card/Passport No.:.................................................................
Issued on ……… / ……… / ……… at ..........................................................................

- Phone number:.......................................................................................................

- Email:......................................................................................................................

- Affiliated organization (if any): ......................................................................................

2. Brief description of the amended content of the dossier

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Reason for amendment:.......................................................................................................

3. Enclosed documents

a) .................................................................................................................................

b) .................................................................................................................................

4. Commitment

I hereby commit to taking responsibility for the accuracy and legality of the contents of the dossier and the enclosed documents, and commit to fully complying with the law.

APPLICANT
(Signature, full name)

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

^{______________________________}

¹Name of the dossier: Dossier for personal data processing impact assessment or dossier for cross-border personal data transfer impact assessment.

Form No. 04

NAME OF ORGANIZATION
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

No.:.......

Location, date

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

To: Ministry of Public Security of Vietnam.

Pursuant to Decree No. 356/2025/ND-CP dated December 31, 2025 of the Government of Vietnam, .....................¹ hereby submits to the Ministry of Public Security of Vietnam an application for issuance of the Certificate of eligibility for providing personal data processing services, as follows:

1. Information on the organization applying for the Certificate

- Vietnamese trading name - Vietnamese abbreviated name:......................................................

- English trading name - English abbreviated name:......................................................

- Address of headquarters:....................................................................................................

- Address of transaction office:...............................................................................................

- Establishment decision/Enterprise registration certificate/Business registration certificate/Investment registration certificate No.: …… issued by ……… on ……(date) at …

- Tax identification number:............................................................................

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Website: ........................................................ Email:...............................................

- Name and contact address of the legal representative:

....................................................................................................................................

- Personnel responsible for personal data protection:....................................................

(1) Full name:...................................................................................................................

Title:....................................................................................................................

Contact phone number:................................................................

Email:........................................................................................................................

(2) Full name:...................................................................................................................

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Contact phone number:...............................................................................................

Email:........................................................................................................................

(3) Full name:...................................................................................................................

Title:....................................................................................................................

Contact phone number:................................................................

Email:....................................................................................................................

2. List of personal data processing services for which Certificate is requested

No.

Name of service

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3. Application dossier for issuance of the Certificate

No.

Name of document

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Remarks

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

...

4. Commitment

...........................² hereby commits to taking responsibility for the accuracy and legality of this application and the enclosed documents, and commits to fully complying with the law.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

ON BEHALF OF THE ORGANIZATION/ENTERPRISE
(Signature, full name, seal)

^{______________________________}

¹ Name of organization/enterprise.

² Name of organization/enterprise.

Form No. 05

MINISTRY OF PUBLIC SECURITY OF VIETNAM
-------

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

No.:.......

Location, date

CERTIFICATE
OF ELIGIBILITY FOR PROVIDING PERSONAL DATA PROCESSING SERVICES
..................................

Pursuant to Decree No. 356/2025/ND-CP dated December 31, 2025 of the Government of Vietnam elaborating on certain articles and implementation measures of the Law on Personal Data Protection;

Pursuant to Decree No. 02/2025/ND-CP dated February 18, 2025 of the Government of Vietnam on functions, tasks, entitlements, and organizational structure of the Ministry of Public Security of Vietnam;

Based on the application dossier for issuance of the Certificate of eligibility for providing personal data processing services dated ... of …………………⁽¹⁾;

At the request of ................................................................................................

CERTIFICATES THAT

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Trading name in Vietnamese or foreign language:

............................................................................................................................................

2. Full name of the legal representative:...............................................................................

3. Enterprise registration certificate/Establishment decision No.: .............................................
issued on … (date); Issuing authority: .............................................................

4. Tax identification number:.............................................................................................................

5. Address of headquarters in Vietnam:....................................................................................................

6. Phone number:.......................................................................................................

7. E-mail:................................................................................................................................

Article 2. ...........................⁽¹⁾ shall strictly comply with Decree No. 356/2025/ND-CP dated December 31, 2025 of the Government of Vietnam, and other relevant laws.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

DIRECTOR OF THE AUTHORITY
(Signature, seal, full name and title)

⁽¹⁾ Name of the applying organization.

Form No. 06

NAME OF ORGANIZATION
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Location, date

APPLICATION
FOR RE-ISSUANCE/REPLACEMENT OF CERTIFICATE OF ELIGIBILITY FOR PROVIDING PERSONAL DATA PROCESSING SERVICES

To: Ministry of Public Security of Vietnam.

Pursuant to Decree No. 356/2025/ND-CP dated December 31, 2025 of the Government of Vietnam elaborating on certain articles and implementation measures of the Law on Personal Data Protection;

Pursuant to the Certificate of eligibility for providing personal data processing services No. ………………… dated… issued by the Department of Cybersecurity and High-Tech Crime Prevention and Control, Ministry of Public Security of Vietnam;

.......................¹ hereby submits to the Ministry of Public Security of Vietnam an application for re-issuance/replacement of the Certificate of eligibility for providing personal data processing services, as follows:

1. Information on the organization applying for the Certificate

- Vietnamese trading name - Vietnamese abbreviated name:......................................................

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Address of headquarters:....................................................................................................

- Address of transaction office:...............................................................................................

- Establishment decision/Enterprise registration certificate/Business registration certificate/Investment registration certificate No.: …… issued by ……… on ……(date) at …

- Tax identification number:.............................................................................................................

- Phone number: ............................. Fax: ......................................................................