Thông tư 11/2021/TT-BTTTT, ban hành ngày 30 tháng 8 năm 2021, là một văn bản pháp lý quan trọng do Bộ Thông tin và Truyền thông ban hành, có vai trò chi tiết hóa và hướng dẫn thi hành một số điều khoản quan trọng của Nghị định số 85/2021/NĐ-CP về bảo vệ dữ liệu cá nhân. Văn bản này tập trung vào việc làm rõ các quy định liên quan đến việc xử lý dữ liệu cá nhân, trách nhiệm của các chủ thể liên quan và các biện pháp bảo vệ dữ liệu, nhằm đảm bảo quyền riêng tư và an toàn cho dữ liệu cá nhân trong kỷ nguyên số. Việc hiểu rõ và tuân thủ các quy định trong Thông tư này là vô cùng cần thiết đối với mọi tổ chức, cá nhân hoạt động liên quan đến dữ liệu cá nhân tại Việt Nam.

Phạm vi điều chỉnh và đối tượng áp dụng

Thông tư 11/2021/TT-BTTTT quy định chi tiết việc thi hành một số điều của Nghị định số 85/2021/NĐ-CP về bảo vệ dữ liệu cá nhân. Cụ thể, Thông tư này tập trung vào các khía cạnh quan trọng như quy trình, thủ tục, và các yêu cầu cụ thể trong việc xử lý dữ liệu cá nhân, cũng như các biện pháp kỹ thuật, nghiệp vụ cần thiết để bảo vệ dữ liệu cá nhân. Đối tượng áp dụng của Thông tư bao gồm các cơ quan nhà nước, tổ chức, doanh nghiệp và cá nhân có hoạt động liên quan đến xử lý dữ liệu cá nhân trên lãnh thổ Việt Nam, hoặc các tổ chức, cá nhân nước ngoài xử lý dữ liệu cá nhân của công dân Việt Nam.

Điều 1. Phạm vi điều chỉnh

Điều 1 của Thông tư 11/2021/TT-BTTTT xác định rõ giới hạn phạm vi của văn bản này. Thông tư này đi sâu vào việc làm rõ và chi tiết hóa các quy định đã được đặt ra trong Nghị định số 85/2021/NĐ-CP, đặc biệt là những quy định có tính nguyên tắc và cần có hướng dẫn thi hành cụ thể để có thể áp dụng trên thực tế. Điều này bao gồm việc làm rõ các khái niệm, quy trình thực hiện, các yêu cầu về mặt kỹ thuật và tổ chức. Phạm vi này nhằm mục đích tạo ra một khung pháp lý rõ ràng, dễ hiểu và khả thi cho việc bảo vệ dữ liệu cá nhân tại Việt Nam, đáp ứng được sự phát triển nhanh chóng của công nghệ thông tin và xu hướng toàn cầu về bảo vệ quyền riêng tư.

Điều 2. Đối tượng áp dụng

Điều 2 của Thông tư quy định rõ ai là người, tổ chức phải tuân thủ các quy định trong Thông tư này. Đối tượng áp dụng bao gồm:

• Các cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị – xã hội, tổ chức xã hội, tổ chức xã hội – nghề nghiệp và các đơn vị sự nghiệp công lập có hoạt động xử lý dữ liệu cá nhân.
• Các doanh nghiệp, bao gồm cả doanh nghiệp trong nước và doanh nghiệp có vốn đầu tư nước ngoài, có hoạt động xử lý dữ liệu cá nhân.
• Các cá nhân có hoạt động xử lý dữ liệu cá nhân, bao gồm cả cá nhân là người lao động trong các tổ chức, doanh nghiệp nói trên.
• Các tổ chức, cá nhân nước ngoài có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam hoặc có cơ sở dữ liệu về công dân Việt Nam đặt tại Việt Nam.

Việc xác định rõ đối tượng áp dụng giúp đảm bảo rằng các quy định của Thông tư được áp dụng một cách toàn diện và hiệu quả, tránh tình trạng bỏ sót hoặc áp dụng sai đối tượng, từ đó nâng cao hiệu lực pháp lý của văn bản.

Điều 3. Giải thích từ ngữ

Phần giải thích từ ngữ trong Thông tư này đóng vai trò nền tảng, làm rõ các thuật ngữ chuyên ngành, tránh hiểu nhầm và tạo sự thống nhất trong cách diễn đạt và áp dụng. Các định nghĩa được cung cấp giúp người đọc, đặc biệt là các đối tượng áp dụng, có cái nhìn rõ ràng về phạm vi và ý nghĩa của các khái niệm cốt lõi trong lĩnh vực bảo vệ dữ liệu cá nhân.

• Dữ liệu cá nhân: Thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự khác gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể.
• Dữ liệu cá nhân nhạy cảm: Dữ liệu cá nhân bao gồm dữ liệu về quan điểm chính trị, quan điểm tôn giáo, tình trạng sức khỏe thể chất hoặc tâm thần, đời sống tình dục và tình trạng hôn nhân, nguồn gốc chủng tộc, quốc tịch, khu vực địa lý, xu hướng tình dục, dữ liệu di truyền, dữ liệu sinh trắc học, thông tin tài chính, và các dữ liệu cá nhân khác mà khi bị tiết lộ hoặc sử dụng trái phép có thể gây tổn hại nghiêm trọng đến quyền và lợi ích hợp pháp của cá nhân.
• Bên có dữ liệu cá nhân: Cá nhân mà dữ liệu cá nhân đó thuộc về.
• Bên xử lý dữ liệu cá nhân: Cá nhân, tổ chức thực hiện hoạt động xử lý dữ liệu cá nhân theo yêu cầu hoặc ủy quyền của Bên kiểm soát dữ liệu cá nhân.
• Bên kiểm soát dữ liệu cá nhân: Cá nhân, tổ chức quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
• Xử lý dữ liệu cá nhân: Một hoặc các hoạt động liên quan đến dữ liệu cá nhân, bao gồm: thu thập, ghi, sửa đổi, lưu trữ, truy xuất, biên tập, công khai, phân phối, chia sẻ, lưu giữ, tiếp cận, sửa chữa, hủy bỏ, mã hóa, giải mã, làm ẩn danh, xáo trộn, hoặc các hành động khác liên quan đến dữ liệu cá nhân.
• Giám sát dữ liệu cá nhân: Việc theo dõi, kiểm tra và đánh giá các hoạt động xử lý dữ liệu cá nhân để đảm bảo tuân thủ các quy định pháp luật và chính sách bảo vệ dữ liệu cá nhân.
• Cơ quan nhà nước có thẩm quyền: Các Bộ, cơ quan ngang Bộ, Ủy ban nhân dân các cấp và các cơ quan khác được giao nhiệm vụ quản lý nhà nước về bảo vệ dữ liệu cá nhân.

Việc hiểu rõ các định nghĩa này là bước đầu tiên và quan trọng nhất để cá nhân và tổ chức có thể hiểu và áp dụng đúng các quy định pháp luật về bảo vệ dữ liệu cá nhân.

Chương II: Quy trình xử lý dữ liệu cá nhân

Mục 1: Thu thập dữ liệu cá nhân

Điều 4. Nguyên tắc thu thập dữ liệu cá nhân

Điều 4 quy định về những nguyên tắc cơ bản mà mọi hoạt động thu thập dữ liệu cá nhân phải tuân thủ. Các nguyên tắc này nhằm đảm bảo tính hợp pháp, minh bạch và tôn trọng quyền riêng tư của cá nhân. Cụ thể:

• Tính hợp pháp: Dữ liệu cá nhân chỉ được thu thập khi có căn cứ pháp lý rõ ràng, ví dụ như sự đồng ý của cá nhân, hoặc theo yêu cầu của pháp luật.
• Tính minh bạch: Cá nhân phải được thông báo đầy đủ, rõ ràng về mục đích thu thập, loại dữ liệu được thu thập, cách thức sử dụng, thời gian lưu trữ và các quyền của họ đối với dữ liệu đó.
• Tính cần thiết và phù hợp: Chỉ thu thập những dữ liệu cá nhân thực sự cần thiết cho mục đích đã xác định và phù hợp với mục đích đó. Không thu thập dữ liệu thừa thãi hoặc không liên quan.
• Tính chính xác và cập nhật: Dữ liệu cá nhân thu thập phải chính xác, đầy đủ và được cập nhật kịp thời.
• Giới hạn mục đích: Dữ liệu cá nhân chỉ được thu thập cho mục đích cụ thể, hợp pháp và rõ ràng đã được thông báo tới cá nhân.
• Bảo mật và lưu trữ: Dữ liệu cá nhân phải được bảo mật và lưu trữ an toàn, chỉ trong thời gian cần thiết để thực hiện mục đích thu thập.

Việc tuân thủ các nguyên tắc này là nền tảng cho mọi hoạt động xử lý dữ liệu cá nhân, giúp xây dựng niềm tin và đảm bảo quyền lợi cho cá nhân.

Điều 5. Hình thức thu thập dữ liệu cá nhân

Điều 5 hướng dẫn các hình thức mà việc thu thập dữ liệu cá nhân có thể diễn ra, nhấn mạnh sự đa dạng của các phương thức trong môi trường số.

• Thu thập trực tiếp từ cá nhân: Thông qua các biểu mẫu đăng ký, hợp đồng, đơn đăng ký, phỏng vấn, khảo sát, website, ứng dụng di động, hoặc các kênh giao tiếp trực tiếp khác. Đây là hình thức phổ biến nhất, dựa trên sự tự nguyện cung cấp của cá nhân.
• Thu thập gián tiếp từ nguồn khác:
  • Từ các tổ chức, doanh nghiệp khác: Khi có sự đồng ý của cá nhân hoặc theo quy định của pháp luật, dữ liệu có thể được chia sẻ từ các bên thứ ba mà cá nhân đã cung cấp thông tin.
  • Từ nguồn công khai: Dữ liệu có sẵn trên các phương tiện truyền thông đại chúng, mạng xã hội (trong phạm vi cho phép và được công khai bởi cá nhân), website công ty, hoặc các nguồn thông tin công khai khác. Tuy nhiên, việc thu thập từ nguồn công khai vẫn cần tuân thủ nguyên tắc minh bạch và mục đích sử dụng rõ ràng.
  • Thông qua thiết bị, cảm biến: Thu thập dữ liệu vị trí, dữ liệu sử dụng thiết bị, dữ liệu từ camera giám sát, hệ thống IoT, v.v. Các hình thức này đòi hỏi sự minh bạch cao và thông báo rõ ràng cho cá nhân về việc thu thập.
• Thu thập thông qua quy trình tự động: Sử dụng các thuật toán, công nghệ để thu thập dữ liệu từ hành vi trực tuyến của người dùng, ví dụ như cookie, lịch sử duyệt web, tương tác trên ứng dụng.

Mỗi hình thức thu thập đều có những đặc thù riêng và đòi hỏi các biện pháp bảo mật, minh bạch phù hợp để đảm bảo tuân thủ pháp luật.

Điều 6. Thông báo về việc thu thập dữ liệu cá nhân

Đây là một trong những điều khoản quan trọng nhất, đặt ra nghĩa vụ cho bên thu thập phải thông báo rõ ràng và đầy đủ cho cá nhân về việc thu thập dữ liệu của họ. Thông báo này phải được thực hiện trước hoặc tại thời điểm thu thập và bao gồm các nội dung sau:

• Mục đích thu thập: Giải thích rõ ràng và chi tiết tại sao dữ liệu cá nhân lại được thu thập và sẽ được sử dụng vào việc gì.
• Loại dữ liệu cá nhân: Liệt kê cụ thể các loại dữ liệu cá nhân sẽ được thu thập (ví dụ: họ tên, ngày sinh, địa chỉ email, số điện thoại, thông tin tài chính, v.v.).
• Thời gian lưu trữ: Thông báo về khoảng thời gian dữ liệu cá nhân sẽ được lưu trữ, hoặc các tiêu chí dùng để xác định thời gian lưu trữ.
• Thông tin về bên thu thập và xử lý dữ liệu: Bao gồm tên, địa chỉ, thông tin liên hệ của tổ chức/cá nhân chịu trách nhiệm thu thập và xử lý dữ liệu.
• Quyền của cá nhân đối với dữ liệu của mình: Thông báo cho cá nhân về các quyền của họ, bao gồm quyền truy cập, chỉnh sửa, xóa, phản đối, yêu cầu hạn chế xử lý, rút lại sự đồng ý, và quyền yêu cầu giải thích về việc xử lý dữ liệu.
• Các đối tượng hoặc dịch vụ có thể được chia sẻ dữ liệu: Nếu dữ liệu cá nhân được chia sẻ với bên thứ ba, phải nêu rõ bên thứ ba đó là ai, thuộc lĩnh vực nào và mục đích chia sẻ.
• Các biện pháp bảo vệ dữ liệu cá nhân: Thông báo sơ bộ về các biện pháp mà bên thu thập đã áp dụng để bảo vệ dữ liệu.

Việc thực hiện đầy đủ và minh bạch nghĩa vụ thông báo này là yếu tố then chốt để đảm bảo sự đồng ý có hiểu biết (informed consent) từ phía cá nhân.

Mục 2: Sử dụng dữ liệu cá nhân

Điều 7. Nguyên tắc sử dụng dữ liệu cá nhân

Tương tự như nguyên tắc thu thập, nguyên tắc sử dụng dữ liệu cá nhân cũng rất quan trọng, đảm bảo rằng dữ liệu được xử lý một cách có trách nhiệm và đúng mục đích.

• Tuân thủ mục đích thu thập: Dữ liệu cá nhân chỉ được sử dụng cho đúng mục đích đã được thông báo và cá nhân đã đồng ý.
• Tính hợp pháp: Việc sử dụng dữ liệu phải tuân thủ các quy định pháp luật hiện hành.
• Giới hạn phạm vi sử dụng: Chỉ sử dụng dữ liệu trong phạm vi cần thiết và phù hợp với mục đích ban đầu.
• Bảo mật và an toàn: Dữ liệu cá nhân phải được bảo mật trong quá trình sử dụng, ngăn chặn truy cập trái phép hoặc sử dụng sai mục đích.
• Quyền của cá nhân: Việc sử dụng dữ liệu phải tôn trọng các quyền của cá nhân đối với dữ liệu của họ.

Điều 8. Các trường hợp sử dụng dữ liệu cá nhân

Điều 8 liệt kê các trường hợp cụ thể mà dữ liệu cá nhân có thể được sử dụng, tạo ra sự linh hoạt nhưng vẫn trong khuôn khổ pháp luật:

• Thực hiện nghĩa vụ hợp đồng: Sử dụng dữ liệu để cung cấp sản phẩm, dịch vụ theo hợp đồng đã ký kết với cá nhân.
• Cung cấp dịch vụ theo yêu cầu của cá nhân: Đáp ứng các yêu cầu khác của cá nhân mà không nhất thiết phải có hợp đồng.
• Tuân thủ nghĩa vụ pháp lý: Sử dụng dữ liệu khi có yêu cầu hoặc quy định của pháp luật (ví dụ: báo cáo cho cơ quan thuế, cơ quan công an theo lệnh).
• Bảo vệ lợi ích sống còn của cá nhân hoặc người khác: Trong các trường hợp khẩn cấp, đe dọa đến tính mạng, sức khỏe.
• Phục vụ lợi ích công cộng: Khi việc xử lý dữ liệu phục vụ các mục tiêu công cộng được pháp luật quy định.
• Thực hiện quyền và lợi ích hợp pháp của bên kiểm soát dữ liệu hoặc bên thứ ba: Khi việc xử lý dữ liệu là cần thiết để bảo vệ quyền và lợi ích hợp pháp, miễn là quyền riêng tư của cá nhân không bị xâm phạm nghiêm trọng.
• Với sự đồng ý của cá nhân: Đây là trường hợp phổ biến nhất, khi cá nhân đã được thông báo đầy đủ và đồng ý cho việc sử dụng dữ liệu cho các mục đích cụ thể.

Mục 3: Chuyển dữ liệu cá nhân ra nước ngoài

Điều 9. Điều kiện chuyển dữ liệu cá nhân ra nước ngoài

Điều 9 đặt ra các yêu cầu nghiêm ngặt cho việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, nhằm đảm bảo rằng dữ liệu vẫn được bảo vệ ở mức độ tương đương khi ở Việt Nam.

• Có sự đồng ý rõ ràng của cá nhân: Cá nhân phải được thông báo đầy đủ về việc dữ liệu của họ sẽ được chuyển ra nước ngoài, bao gồm quốc gia nhận, mức độ bảo vệ tại quốc gia đó, và các rủi ro có thể xảy ra, sau đó đồng ý một cách minh thị.
• Đảm bảo mức độ bảo vệ tương đương: Bên nhận dữ liệu ở nước ngoài phải có các biện pháp bảo vệ dữ liệu cá nhân tương đương với quy định của pháp luật Việt Nam. Điều này có thể được chứng minh thông qua:
  • Các quy định pháp luật về bảo vệ dữ liệu cá nhân tại quốc gia nhận dữ liệu.
  • Cam kết bằng văn bản từ bên nhận dữ liệu về việc tuân thủ các nguyên tắc và biện pháp bảo vệ tương đương.
  • Việc áp dụng các điều khoản hợp đồng mẫu được cơ quan nhà nước có thẩm quyền phê duyệt.
  • Các chứng nhận hoặc xếp hạng bảo mật quốc tế được công nhận.
• Tuân thủ các quy định khác của pháp luật: Ngoài các yêu cầu về bảo vệ dữ liệu, việc chuyển dữ liệu ra nước ngoài còn phải tuân thủ các quy định pháp luật liên quan khác của Việt Nam và quốc tế.
• Thông báo cho cơ quan nhà nước có thẩm quyền: Trong một số trường hợp nhất định, bên kiểm soát dữ liệu có thể phải thông báo hoặc xin phép cơ quan nhà nước có thẩm quyền trước khi thực hiện việc chuyển dữ liệu ra nước ngoài.

Mục 4: Bảo vệ dữ liệu cá nhân

Điều 10. Biện pháp bảo vệ dữ liệu cá nhân

Điều 10 quy định chi tiết về các biện pháp kỹ thuật và tổ chức mà bên kiểm soát và bên xử lý dữ liệu cá nhân phải áp dụng để bảo vệ dữ liệu.

• Biện pháp kỹ thuật:
  • Mã hóa dữ liệu: Sử dụng các thuật toán mã hóa mạnh để bảo vệ dữ liệu khi lưu trữ và truyền tải.
  • Kiểm soát truy cập: Triển khai các cơ chế xác thực mạnh, phân quyền truy cập dựa trên nguyên tắc “cần biết” và “cần làm”.
  • Phát hiện và ngăn chặn xâm nhập: Sử dụng các hệ thống tường lửa, hệ thống phát hiện xâm nhập (IDS) và ngăn chặn xâm nhập (IPS).
  • Sao lưu và phục hồi dữ liệu: Xây dựng kế hoạch sao lưu dữ liệu định kỳ và có khả năng phục hồi nhanh chóng khi xảy ra sự cố.
  • Bảo vệ khỏi phần mềm độc hại: Sử dụng phần mềm diệt virus, chống mã độc và cập nhật thường xuyên.
  • Kiểm soát an ninh mạng: Thực hiện các biện pháp bảo vệ hệ thống mạng khỏi các truy cập trái phép và tấn công mạng.
• Biện pháp tổ chức:
  • Xây dựng chính sách bảo vệ dữ liệu: Ban hành và công bố các quy định, chính sách rõ ràng về bảo vệ dữ liệu cá nhân.
  • Đào tạo nhận thức: Thường xuyên đào tạo, nâng cao nhận thức cho cán bộ, nhân viên về trách nhiệm và các quy định bảo vệ dữ liệu cá nhân.
  • Quy trình xử lý sự cố: Xây dựng quy trình ứng phó và xử lý sự cố mất mát, rò rỉ dữ liệu.
  • Đánh giá rủi ro: Thực hiện đánh giá định kỳ các rủi ro liên quan đến bảo vệ dữ liệu cá nhân.
  • Kiểm toán nội bộ: Tiến hành kiểm toán nội bộ để đánh giá hiệu quả của các biện pháp bảo vệ dữ liệu.
  • Chỉ định người phụ trách bảo vệ dữ liệu: Đối với một số tổ chức nhất định, có thể yêu cầu chỉ định người phụ trách bảo vệ dữ liệu.

Việc áp dụng đồng bộ cả biện pháp kỹ thuật và tổ chức là yếu tố then chốt để đảm bảo an toàn cho dữ liệu cá nhân.

Điều 11. Thông báo về vi phạm bảo vệ dữ liệu cá nhân

Điều 11 quy định trách nhiệm thông báo khi xảy ra sự cố vi phạm bảo vệ dữ liệu cá nhân, một yêu cầu quan trọng để minh bạch hóa và có biện pháp khắc phục kịp thời.

• Nghĩa vụ thông báo: Bên kiểm soát dữ liệu cá nhân có trách nhiệm thông báo cho cơ quan nhà nước có thẩm quyền và cho cá nhân bị ảnh hưởng về các vi phạm bảo vệ dữ liệu cá nhân khi xảy ra các sự cố có khả năng gây rủi ro nghiêm trọng đến quyền và lợi ích hợp pháp của cá nhân.
• Nội dung thông báo: Thông báo phải bao gồm:
  • Bản chất của vi phạm.
  • Tên và thông tin liên hệ của người phụ trách bảo vệ dữ liệu hoặc điểm liên hệ khác.
  • Các hậu quả có thể xảy ra từ vi phạm.
  • Các biện pháp đã được hoặc sẽ được thực hiện để giải quyết vi phạm, bao gồm các biện pháp để giảm thiểu tác động tiêu cực.
• Thời hạn thông báo: Thông báo phải được thực hiện trong thời gian sớm nhất có thể, thường là trong vòng 72 giờ kể từ khi phát hiện ra vi phạm, trừ trường hợp có lý do chính đáng để không thông báo hoặc thông báo chậm hơn.

Việc thông báo kịp thời và đầy đủ giúp các cá nhân có biện pháp phòng ngừa, đồng thời tạo cơ hội cho cơ quan quản lý can thiệp và khắc phục hậu quả.

Chương III: Trách nhiệm của các chủ thể liên quan

Mục 1: Trách nhiệm của Bên kiểm soát dữ liệu cá nhân

Điều 12. Trách nhiệm chung

Điều 12 tập trung vào trách nhiệm bao quát và tổng thể của các tổ chức, cá nhân có vai trò quyết định trong việc xử lý dữ liệu cá nhân.

• Tuân thủ pháp luật: Chịu trách nhiệm chính trong việc đảm bảo mọi hoạt động xử lý dữ liệu cá nhân tuân thủ đầy đủ các quy định của Nghị định 85/2021/NĐ-CP và các văn bản hướng dẫn thi hành, bao gồm cả Thông tư này.
• Xây dựng và thực thi chính sách: Phải xây dựng, công bố và thực thi chính sách bảo vệ dữ liệu cá nhân rõ ràng, minh bạch, bao gồm cả các quy trình nội bộ.
• Đảm bảo sự đồng ý hợp pháp: Có trách nhiệm thu thập sự đồng ý hợp pháp và có hiểu biết từ cá nhân trước khi xử lý dữ liệu, trừ các trường hợp được pháp luật cho phép không cần sự đồng ý.
• Thực hiện các biện pháp bảo vệ: Chịu trách nhiệm áp dụng các biện pháp kỹ thuật và tổ chức cần thiết để bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép, mất mát, rò rỉ.
• Thông báo và giải quyết khiếu nại: Có trách nhiệm tiếp nhận, xem xét và giải quyết các khiếu nại, yêu cầu của cá nhân liên quan đến dữ liệu cá nhân của họ.
• Báo cáo và hợp tác: Chịu trách nhiệm báo cáo theo yêu cầu của cơ quan nhà nước có thẩm quyền và hợp tác đầy đủ trong các hoạt động kiểm tra, giám sát.

Điều 13. Trách nhiệm cụ thể

Điều 13 đi sâu vào các trách nhiệm cụ thể mà Bên kiểm soát dữ liệu cá nhân phải thực hiện trong các tình huống và quy trình khác nhau.

• Thiết lập cơ chế thu thập sự đồng ý: Xây dựng các quy trình, biểu mẫu để cá nhân có thể dễ dàng thực hiện quyền đồng ý hoặc từ chối.
• Đảm bảo tính chính xác và cập nhật: Có cơ chế để cá nhân có thể yêu cầu chỉnh sửa, cập nhật thông tin cá nhân của mình.
• Quản lý quyền của cá nhân: Xây dựng quy trình để tiếp nhận và xử lý các yêu cầu của cá nhân liên quan đến quyền của họ (truy cập, chỉnh sửa, xóa, hạn chế, v.v.).
• Thực hiện đánh giá tác động: Tiến hành đánh giá tác động bảo vệ dữ liệu cá nhân đối với các hoạt động xử lý có rủi ro cao.
• Báo cáo định kỳ: Thực hiện báo cáo định kỳ về hoạt động xử lý dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước.
• Hợp tác với Bên xử lý dữ liệu: Nếu có sự tham gia của Bên xử lý dữ liệu, Bên kiểm soát dữ liệu phải thiết lập hợp đồng rõ ràng và giám sát việc tuân thủ của Bên xử lý.

Mục 2: Trách nhiệm của Bên xử lý dữ liệu cá nhân

Điều 14. Trách nhiệm

Điều 14 quy định rõ vai trò và trách nhiệm của các tổ chức, cá nhân thực hiện hoạt động xử lý dữ liệu theo ủy quyền hoặc yêu cầu của Bên kiểm soát dữ liệu.

• Tuân thủ chỉ thị của Bên kiểm soát: Thực hiện việc xử lý dữ liệu cá nhân theo đúng chỉ thị, hướng dẫn và cam kết đã thỏa thuận với Bên kiểm soát dữ liệu.
• Áp dụng biện pháp bảo vệ: Phải áp dụng các biện pháp kỹ thuật và tổ chức cần thiết để bảo vệ dữ liệu cá nhân được giao, tương đương với các biện pháp mà Bên kiểm soát dữ liệu phải áp dụng.
• Không sử dụng dữ liệu ngoài phạm vi ủy quyền: Tuyệt đối không được sử dụng dữ liệu cá nhân cho bất kỳ mục đích nào khác ngoài phạm vi được Bên kiểm soát dữ liệu ủy quyền.
• Thông báo khi phát hiện vi phạm: Nếu phát hiện bất kỳ vi phạm nào liên quan đến dữ liệu cá nhân, Bên xử lý dữ liệu phải ngay lập tức thông báo cho Bên kiểm soát dữ liệu để có biện pháp xử lý kịp thời.
• Hỗ trợ Bên kiểm soát: Hỗ trợ Bên kiểm soát dữ liệu trong việc đáp ứng các yêu cầu của cá nhân, thực hiện đánh giá tác động, và các nghĩa vụ pháp lý khác.
• Bảo mật thông tin: Giữ bí mật về dữ liệu cá nhân và các quy trình xử lý, không tiết lộ cho bên thứ ba khi chưa có sự cho phép.

Mục 3: Trách nhiệm của cơ quan nhà nước có thẩm quyền

Điều 15. Trách nhiệm

Điều 15 xác định vai trò của các cơ quan nhà nước trong việc giám sát, hướng dẫn và thực thi pháp luật về bảo vệ dữ liệu cá nhân.

• Xây dựng và ban hành văn bản hướng dẫn: Lên kế hoạch xây dựng và ban hành các văn bản quy phạm pháp luật, văn bản hướng dẫn thi hành chi tiết, cụ thể hóa các quy định về bảo vệ dữ liệu cá nhân.
• Hướng dẫn, tuyên truyền: Tổ chức các hoạt động hướng dẫn, tuyên truyền, phổ biến pháp luật về bảo vệ dữ liệu cá nhân đến các tổ chức, cá nhân.
• Kiểm tra, giám sát: Thực hiện kiểm tra, thanh tra, giám sát việc tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân của các tổ chức, cá nhân.
• Tiếp nhận và xử lý thông báo: Tiếp nhận các thông báo về vi phạm bảo vệ dữ liệu cá nhân, đánh giá tác động và có các biện pháp can thiệp, xử lý phù hợp.
• Giải quyết khiếu nại, tố cáo: Tiếp nhận và giải quyết các khiếu nại, tố cáo liên quan đến hoạt động bảo vệ dữ liệu cá nhân.
• Hợp tác quốc tế: Hợp tác với các tổ chức, cơ quan quốc tế trong lĩnh vực bảo vệ dữ liệu cá nhân.
• Cập nhật công nghệ: Nghiên cứu và áp dụng các công nghệ, phương pháp tiên tiến để nâng cao hiệu quả quản lý nhà nước về bảo vệ dữ liệu cá nhân.

Chương IV: Điều khoản thi hành

Điều 16. Hiệu lực thi hành

Điều 16 quy định về thời điểm mà Thông tư 11/2021/TT-BTTTT bắt đầu có hiệu lực pháp luật. Văn bản này bắt đầu có hiệu lực thi hành kể từ ngày 15 tháng 10 năm 2021.

Việc quy định rõ thời điểm có hiệu lực giúp các tổ chức, cá nhân có đủ thời gian để nghiên cứu, chuẩn bị và điều chỉnh hoạt động của mình cho phù hợp với các quy định mới.

Điều 17. Tổ chức thực hiện

Điều 17 giao nhiệm vụ cho Bộ Thông tin và Truyền thông và các cơ quan, đơn vị liên quan chịu trách nhiệm triển khai thực hiện Thông tư này. Các Bộ trưởng, Thủ trưởng cơ quan ngang Bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Thông tư này.

Nhiệm vụ này nhấn mạnh tính nghiêm túc và sự phối hợp cần thiết giữa các cấp, các ngành để đảm bảo Thông tư được thi hành một cách hiệu quả trên phạm vi toàn quốc.