Tại Công văn số 206/UBND-NC ngày 08/01/2026, Phó Chủ tịch Thường trực UBND tỉnh Bùi Thanh An giao các Sở, ban, ngành cấp tỉnh, UBND các xã, phường căn cứ Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết thi hành một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân để triển khai thi hành theo chức năng, nhiệm vụ. Đồng thời giao Công an tỉnh chủ trì, phối hợp với Sở Khoa học và Công nghệ và Sở, ngành có liên quan nghiên cứu, tham mưu UBND tỉnh chỉ đạo thực hiện nội dung trách nhiệm, thẩm quyền theo quy định tại Nghị định trên.

Tại Nghị định số 356/2025/NĐ-CP, Chính phủ nêu rõ quy định yêu cầu, điều kiện bảo vệ dữ liệu cá nhân; hồ sơ, trình tự, thủ tục về dữ liệu cá nhân; thực thi công tác bảo vệ dữ liệu cá nhân.

Trong đó, về điều kiện của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân: Tổ chức phải được thành lập và hoạt động theo pháp luật Việt Nam, đáp ứng các điều kiện theo quy định. Về nhân sự, người đứng đầu phụ trách chuyên môn về xử lý dữ liệu cá nhân của tổ chức phải là công dân Việt Nam, thường trú tại Việt Nam; có đội ngũ quản lý, điều hành đáp ứng yêu cầu chuyên môn xử lý dữ liệu cá nhân; có tối thiểu 3 nhân sự đủ điều kiện năng lực theo quy định. Tổ chức phải có hạ tầng, hệ thống trang thiết bị, cơ sở vật chất và công nghệ phù hợp với dịch vụ xử lý dữ liệu cá nhân; có kết quả đạt yêu cầu đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp có chuyển dữ liệu cá nhân xuyên biên giới.

Về trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân gồm: Tuân thủ đầy đủ các quy định pháp luật về bảo vệ dữ liệu cá nhân; thực hiện trách nhiệm, nghĩa vụ của bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân; xây dựng khung quản trị rủi ro về bảo vệ dữ liệu cá nhân phù hợp với dịch vụ cung cấp; thực hiện đánh giá hiện trạng tuân thủ và mức độ tín nhiệm về bảo vệ dữ liệu cá nhân định kỳ 1 năm/lần; áp dụng các tiêu chuẩn, quy chuẩn liên quan đến an ninh dữ liệu, bảo vệ dữ liệu cá nhân, an ninh mạng; xây dựng quy định về trách nhiệm và quyền hạn của tổ chức trong xử lý dữ liệu cá nhân.

Tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân có trách nhiệm bảo đảm việc xử lý dữ liệu cá nhân đúng mục đích, giới hạn việc thu thập, chuyển giao, lưu trữ phù hợp và theo quy định pháp luật; ngăn chặn việc truy cập, thu thập, sử dụng, tiết lộ trái phép hoặc các rủi ro tương tự trong hoạt động xử lý dữ liệu cá nhân. Trường hợp là bên xử lý dữ liệu cá nhân, tổ chức phải yêu cầu bên kiểm soát dữ liệu cá nhân xin sự đồng ý của chủ thể dữ liệu theo quy định trước khi cung cấp dịch vụ, bảo đảm chủ thể dữ liệu cá nhân được biết về loại dữ liệu cá nhân xử lý, mục đích xử lý và tổ chức cung cấp dịch vụ xử lý dữ liệu cá nhân. Đồng thời, tổ chức thực hiện việc xác thực danh tính theo quy định pháp luật về định danh và xác thực điện tử.

Nghị định cũng quy định các trường hợp tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân bị thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, bao gồm: Không bảo đảm một trong các điều kiện theo quy định; không kinh doanh dịch vụ từ 12 tháng trở lên; bị giải thể hoặc phá sản theo quy định của pháp luật; không khắc phục vi phạm về bảo vệ dữ liệu cá nhân, an toàn thông tin, an ninh mạng, an ninh dữ liệu theo yêu cầu của cơ quan nhà nước có thẩm quyền; hoặc chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc thu hồi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, đồng thời tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân có trách nhiệm nộp lại Giấy chứng nhận đã được cấp trong thời hạn 5 ngày làm việc kể từ khi nhận được quyết định thu hồi.

Chính phủ giao UBND các tỉnh, thành phố trực thuộc Trung ương thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này. Bố trí nhân sự và bộ phận bảo vệ dữ liệu cá nhân tại các đơn vị thuộc phạm vi quản lý; bảo đảm đáp ứng điều kiện năng lực, phù hợp với vị trí việc làm và yêu cầu chuyên môn về bảo vệ dữ liệu cá nhân theo quy định của pháp luật. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.

Đồng thời, tổ chức tuyên truyền, phổ biến pháp luật và kiến thức, kỹ năng bảo vệ dữ liệu cá nhân cho cán bộ, công chức, viên chức, người dân và doanh nghiệp trên địa bàn. Tổ chức bồi dưỡng nâng cao năng lực cho đội ngũ làm công tác bảo vệ dữ liệu cá nhân tại các cấp hành chính; lồng ghép nội dung bảo vệ dữ liệu cá nhân trong các chương trình cải cách hành chính và chuyển đổi số. Xây dựng hệ thống thống kê, tổng hợp và báo cáo định kỳ về tình hình bảo vệ dữ liệu cá nhân tại địa phương gửi cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo quy định.

Kim Oanh (T/h)