Luật Bảo vệ dữ liệu cá nhân nước Cộng hòa xã hội chủ nghĩa Việt Nam 2025/Chương IV

Điều 36. Trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân

1. Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.

2. Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, trừ nội dung thuộc phạm vi quản lý của Bộ Quốc phòng.

3. Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý.

4. Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

5. Ủy ban nhân dân cấp tỉnh thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

Điều 37. Trách nhiệm của bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân

1. Trách nhiệm của bên kiểm soát dữ liệu cá nhân như sau:

a) Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan;

b) Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung theo quy định của Luật này;

c) Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân theo quy định của pháp luật, rà soát và cập nhật các biện pháp này khi cần thiết;

d) Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 của Luật này;

đ) Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân;

e) Bảo đảm các quyền của chủ thể dữ liệu cá nhân theo quy định tại Điều 4 của Luật này;

g) Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;

​h) Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;

i) Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

k) Thực hiện các trách nhiệm khác theo quy định của Luật này và quy định khác của pháp luật có liên quan.

2. Trách nhiệm của bên xử lý dữ liệu cá nhân như sau:

a) Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;

b) Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;

c) Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này và các quy định khác của pháp luật có liên quan;

d) Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;

đ) Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;

e) Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

g) Thực hiện các trách nhiệm khác theo quy định của Luật này và quy định khác của pháp luật có liên quan.

3. Bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thực hiện đầy đủ các quy định tại khoản 1 và khoản 2 Điều này.