Document-Analysis-Chatbot

Sleeping

App Files Files Community

nguyenit67 commited on Jun 16

Commit

a53041c

1 Parent(s): 6f4229d

Update files

Browse files

Files changed (10) hide show

.dockerignore +54 -0
.gitattributes +1 -0
.gitignore +5 -0
.streamlit/config.toml +0 -7
Dockerfile +1 -1
README.md +66 -7
app.py +486 -41
documents/13_2023_ND-CP_465185.txt +920 -0
documents/Chính sách bảo mật dữ liệu cá nhân - VnExpress.txt +255 -0
requirements.txt +5 -2

.dockerignore ADDED Viewed

	@@ -0,0 +1,54 @@

+# Git files
+.git
+.gitignore
+.gitattributes
+# Docker files
+Dockerfile
+.dockerignore
+# Python cache
+__pycache__/
+*.pyc
+*.pyo
+*.pyd
+.Python
+# Virtual environments
+venv/
+env/
+.venv/
+# IDE files
+.vscode/
+.idea/
+*.swp
+*.swo
+# OS files
+.DS_Store
+Thumbs.db
+# Logs
+*.log
+# Documentation
+README.md
+docs/
+# Test files
+tests/
+.pytest_cache/
+# Large files that shouldn't be in container
+*.zip
+*.tar.gz
+*.pdf
+*.doc
+*.docx
+# Environment files
+.env
+.env.local
+.env.staging
+.env.prod

.gitattributes ADDED Viewed

	@@ -0,0 +1 @@


1	+ *.doc filter=lfs diff=lfs merge=lfs -text

.gitignore CHANGED Viewed

@@ -7,6 +7,11 @@ __pycache__/
 # C extensions
 *.so
 # Distribution / packaging
 .Python
 build/

 # C extensions
 *.so
+# Binary files
+.doc
+.docx
+.pdf
 # Distribution / packaging
 .Python
 build/

.streamlit/config.toml CHANGED Viewed

@@ -1,9 +1,2 @@
-[theme]
-primaryColor="#e5ab00"
-backgroundColor="#0e1117"
-secondaryBackgroundColor="#282929"
-textColor = "#ffffff"
-font="sans serif"
 [server]
 maxUploadSize = 200









1	[server]
2	maxUploadSize = 200

Dockerfile CHANGED Viewed

@@ -1,4 +1,4 @@
-FROM python:3.8.9
 WORKDIR /app


1	+ FROM python:3.9-slim
2
3	WORKDIR /app
4

README.md CHANGED Viewed

@@ -1,15 +1,74 @@
 ---
-title: Streamlit Docker Template
-emoji: 📉
-colorFrom: blue
-colorTo: green
 sdk: docker
 app_port: 8501
 pinned: false
 ---
-## 🧠 Streamlit Docker Template 🔎
-Streamlit Docker Template is a template for creating a Streamlit app with Docker and Hugging Face Spaces.
-Code from https://docs.streamlit.io/library/get-started/create-an-app

 ---
+title: Document Analysis Chatbot
+emoji: 🚀
+colorFrom: red
+colorTo: red
 sdk: docker
 app_port: 8501
+tags:
+    - streamlit
 pinned: false
+short_description: Document Analysis Chatbot with Implicit Caching
+license: apache-2.0
 ---
+# Document Analysis Chatbot with Gemini AI
+## Tính năng
+-   ✅ **Upload tài liệu**: Hỗ trợ PDF, MARKDOWN, DOC/DOCX, TXT
+-   ✅ **Tóm tắt tài liệu**: Tự động tạo tóm tắt chi tiết
+-   ✅ **Chat với tài liệu**: Đặt câu hỏi và nhận câu trả lời dựa trên nội dung
+-   ✅ **Xác minh thông tin**: Kiểm tra tính chính xác của thông tin so với tài liệu
+-   ✅ **Kiểm tra tuân thủ**: So sánh với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
+## Cài đặt
+1. **Clone hoặc tải về project**
+2. **Cài đặt dependencies:**
+    ```bash
+    pip install -r requirements.txt
+    ```
+3. **Lấy Gemini API Key:**
+    - Truy cập [Google AI Studio](https://aistudio.google.com/app/apikey)
+    - Click Create API Key
+    - Sao chép API Key
+    - Tạo 1 file .env trong thư mục gốc để chứa thông tin trường GEMINI_API_KEY bạn cừa copy
+        ```env
+        GEMINI_API_KEY=<API Key của bạn>
+        ```
+## Chạy ứng dụng
+```bash
+streamlit run app.py
+```
+## Hướng dẫn sử dụng
+1. **Upload tài liệu**: Chọn file cần phân tích (PDF/MD/DOC/DOCX/TXT)
+2. **Sử dụng các tính năng** qua các tab:
+    - **Chat**: Đặt câu hỏi về tài liệu
+    - **Tóm tắt**: Xem tóm tắt tự động
+    - **Xác minh**: Kiểm tra thông tin
+    - **Kiểm tra tuân thủ**: Phát hiện vi phạm bảo vệ dữ liệu
+## Cấu trúc Project
+```
+Final Project/
+├── .env                # File môi trường
+├── app.py              # Ứng dụng chính
+├── requirements.txt    # Dependencies
+└── README.md           # Hướng dẫn này
+```
+## Lưu ý
+-   Ứng dụng cần kết nối internet để sử dụng Gemini API
+-   API Key được lưu trong session, không lưu trữ lâu dài
+-   Hỗ trợ tiếng Việt trong giao diện và phản hồi

app.py CHANGED Viewed

@@ -1,42 +1,487 @@
 import streamlit as st
-import pandas as pd
-import numpy as np
-st.title('Uber pickups in NYC')
-DATE_COLUMN = 'date/time'
-DATA_URL = ('https://s3-us-west-2.amazonaws.com/'
-            'streamlit-demo-data/uber-raw-data-sep14.csv.gz')
-@st.cache_data
-def load_data(nrows):
-    data = pd.read_csv(DATA_URL, nrows=nrows)
-    lowercase = lambda x: str(x).lower()
-    data.rename(lowercase, axis='columns', inplace=True)
-    data[DATE_COLUMN] = pd.to_datetime(data[DATE_COLUMN])
-    return data
-data_load_state = st.text('Loading data...')
-data = load_data(10000)
-data_load_state.text("Done! (using st.cache)")
-if st.checkbox('Show raw data'):
-    st.subheader('Raw data')
-    st.write(data)
-st.subheader('Number of pickups by hour')
-hist_values = np.histogram(data[DATE_COLUMN].dt.hour, bins=24, range=(0,24))[0]
-st.bar_chart(hist_values)
-# Some number in the range 0-23
-hour_to_filter = st.slider('hour', 0, 23, 17)
-filtered_data = data[data[DATE_COLUMN].dt.hour == hour_to_filter]
-st.subheader('Map of all pickups at %s:00' % hour_to_filter)
-st.map(filtered_data)
-uploaded_file = st.file_uploader("Choose a file")
-if uploaded_file is not None:
-    st.write(uploaded_file.name)
-    bytes_data = uploaded_file.getvalue()
-    st.write(len(bytes_data), "bytes")

+import os
 import streamlit as st
+import google.genai as genai
+from PyPDF2 import PdfReader
+from dotenv import load_dotenv
+from spire.doc import *
+from spire.doc.common import *
+# Load environment variables
+load_dotenv()
+# Global constants
+MODEL_NAME = os.getenv("GEMINI_MODEL_NAME", "models/gemini-2.5-flash-preview-05-20")
+print(f"Using model: {MODEL_NAME}")
+# Configure Streamlit page
+st.set_page_config(
+    page_title="Document Analysis Chatbot",
+    page_icon="📄",
+    layout="wide",
+)
+# Initialize session state
+if "messages" not in st.session_state:
+    st.session_state.messages = []
+if "document_content" not in st.session_state:
+    st.session_state.document_content = ""
+if "document_summary" not in st.session_state:
+    st.session_state.document_summary = ""
+if "data_protection_rules" not in st.session_state:
+    st.session_state.data_protection_rules = ""
+if "genai_client" not in st.session_state:
+    st.session_state.genai_client = None
+if "common_prefix" not in st.session_state:
+    st.session_state.common_prefix = ""
+def setup_gemini():
+    """Setup Gemini API configuration with 2.5 Flash for implicit caching"""
+    # Try to load API key from environment first
+    api_key = os.getenv("GEMINI_API_KEY")
+    if not api_key or api_key == "your_gemini_api_key_here":
+        # Fallback to Streamlit input if not found in .env
+        api_key = st.sidebar.text_input(
+            "Enter your Gemini API Key:",
+            type="password",
+            help="API key not found in .env file. Please enter manually or update your .env file.",
+        )
+    else:
+        st.sidebar.success("✅ API Key loaded from .env file")
+    if api_key and api_key != "your_gemini_api_key_here":
+        try:
+            # Initialize the genai client with Gemini 2.5 Flash
+            client = genai.Client(api_key=api_key)
+            st.session_state.genai_client = client
+            return client
+        except Exception as e:
+            st.sidebar.error(f"Error initializing Gemini client: {str(e)}")
+            return None
+    return None
+def count_tokens(client, text: str) -> int:
+    """Count tokens in text using Gemini API"""
+    try:
+        response = client.models.count_tokens(model=MODEL_NAME, contents=[text])
+        return response.total_tokens
+    except Exception as e:
+        # Fallback estimation: roughly 4 characters per token
+        return len(text) // 4
+def create_common_prefix(document_content: str, data_protection_rules: str) -> str:
+    """Create a common prefix for implicit caching optimization"""
+    prefix = f"""BỐI CẢNH TÀI LIỆU VÀ QUY ĐỊNH:
+TÀI LIỆU CHÍNH CẦN PHÂN TÍCH:
+{document_content}
+---
+NGHỊ ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN - NGHỊ ĐỊNH 13/2023/NĐ-CP:
+{data_protection_rules}
+---
+Bạn là một trợ lý AI chuyên nghiệp trong việc phân tích tài liệu và kiểm tra tuân thủ pháp luật. Hãy sử dụng toàn bộ thông tin trên để trả lời các câu hỏi một cách chính xác và chi tiết.
+"""
+    return prefix
+def generate_with_implicit_cache(client, prefix: str, prompt: str, model_name: str = MODEL_NAME):
+    """Generate content optimized for implicit caching by placing large content at the beginning"""
+    try:
+        # Combine prefix (large common content) with specific prompt
+        full_prompt = f"{prefix}\n{prompt}"
+        response = client.models.generate_content(model=model_name, contents=[full_prompt])
+        # Display cache hit information if available
+        if hasattr(response, "usage_metadata") and response.usage_metadata:
+            total_tokens = getattr(response.usage_metadata, "total_token_count", 0) or 0
+            prompt_tokens = getattr(response.usage_metadata, "prompt_token_count", 0) or 0
+            candidates_tokens = getattr(response.usage_metadata, "candidates_token_count", 0) or 0
+            cached_tokens = getattr(response.usage_metadata, "cached_content_token_count", 0) or 0
+            if cached_tokens > 0:
+                st.info(f"💰 Implicit Cache Hit: {cached_tokens:,} tokens cached | Total: {total_tokens:,} tokens")
+            elif total_tokens > 0:
+                # Show token usage even without cache hits
+                st.info(
+                    f"📊 Token Usage: {prompt_tokens:,} prompt + {candidates_tokens:,} response = {total_tokens:,} total"
+                )
+        return response.text
+    except Exception as e:
+        st.error(f"Error generating content: {str(e)}")
+        return f"Lỗi khi tạo nội dung: {str(e)}. Vui lòng thử lại."
+def load_data_protection_rules():
+    """Load data protection rules from local file"""
+    with open("documents/13_2023_ND-CP_465185.txt", "r", encoding="utf-8") as f:
+        text = f.read()
+    return text
+def extract_text_from_file(uploaded_file):
+    """Extract text from uploaded file (PDF, MARKDOWN, DOC/DOCX, or TXT)"""
+    try:
+        st.write(f"Processing file: {uploaded_file.name}")
+        st.write(f"File type: {type(uploaded_file)}")
+        # Reset file pointer to beginning
+        uploaded_file.seek(0)
+        file_extension = uploaded_file.name.split(".")[-1].lower()
+        if file_extension == "pdf":
+            pdf_reader = PdfReader(uploaded_file)
+            text = ""
+            for page in pdf_reader.pages:
+                text += page.extract_text()
+        elif file_extension in ("doc", "docx"):
+            # Save uploaded file temporarily for Spire.Doc
+            import tempfile
+            with tempfile.NamedTemporaryFile(delete=False, suffix=f".{file_extension}") as tmp_file:
+                # Write the uploaded file content to temp file
+                tmp_file.write(uploaded_file.read())
+                tmp_file.flush()
+                # Now load from the temporary file path
+                doc = Document()
+                doc.LoadFromFile(tmp_file.name)
+                text = (
+                    doc.GetText()
+                    .replace("Evaluation Warning: The document was created with Spire.Doc for Python.", "")
+                    .strip()
+                )
+                # Clean up temp file
+                os.unlink(tmp_file.name)
+        elif file_extension in ("md", "txt"):
+            text = str(uploaded_file.read(), "utf-8")
+        else:
+            st.error(f"Unsupported file format: {file_extension}")
+            return None
+        return text
+    except Exception as e:
+        st.error(f"Error extracting text from file: {str(e)}")
+        return None
+def summarize_document(client, prefix: str) -> str:
+    """Generate summary of the document using implicit caching"""
+    prompt = """
+    YÊU CẦU TÓM TẮT TÀI LIỆU CHÍNH CẦN PHÂN TÍCH (KHÔNG BAO GỒM NGHỊ ĐỊNH BẢO VỆ DỮ LIỆU):
+    Hãy tóm tắt nội dung tài liệu một cách chi tiết và có cấu trúc:
+    1. **Tóm tắt tổng quát** (2-3 câu)
+    2. **Các phần chính trong tài liệu** với tiêu đề và nội dung chính
+    3. **Những điểm quan trọng cần lưu ý**
+    4. **Cấu trúc và tổ chức nội dung**
+    5. **Các khái niệm và thuật ngữ chính**
+    6. **Kết luận và khuyến nghị** (nếu có)
+    Vui lòng phân tích toàn bộ tài liệu để đưa ra tóm tắt đầy đủ, chính xác và có cấu trúc rõ ràng.
+    """
+    return generate_with_implicit_cache(client, prefix, prompt)
+def check_data_protection_compliance(client, prefix: str) -> str:
+    """Check compliance using implicit caching with common prefix"""
+    prompt = """
+    YÊU CẦU KIỂM TRA TUÂN THỦ:
+    Hãy thực hiện phân tích tuân thủ bảo vệ dữ liệu cá nhân một cách chi tiết và có hệ thống:
+    **PHÂN TÍCH TUÂN THỦ NGHỊ ĐỊNH 13/2023/NĐ-CP**
+    Thực hiện so sánh giữa nội dung tài liệu với các quy định bảo vệ dữ liệu cá nhân:
+    1. **Đánh giá tổng quan**
+       - Có vi phạm các quy định hay không?
+       - Mức độ nghiêm trọng (Cao/Trung bình/Thấp)
+    2. **Phân tích chi tiết các vi phạm (nếu có)**
+       - Điều khoản cụ thể bị vi phạm
+       - Nội dung vi phạm trong tài liệu
+       - Trích dẫn quy định tương ứng
+    3. **Các vấn đề cần lưu ý**
+       - Thu thập dữ liệu không đúng quy định
+       - Thiếu thông báo hoặc đồng ý
+       - Vấn đề bảo mật và lưu trữ
+       - Quyền của chủ thể dữ liệu
+    4. **Khuyến nghị khắc phục**
+       - Các biện pháp cụ thể cần thực hiện
+       - Thứ tự ưu tiên xử lý
+       - Biện pháp phòng ngừa
+    5. **Kết luận và đánh giá rủi ro**
+    Phân tích toàn bộ nội dung tài liệu một cách kỹ lưỡng, không bỏ sót bất kỳ phần nào.
+    """
+    return generate_with_implicit_cache(client, prefix, prompt)
+def verify_information(client, prefix: str, user_claim: str) -> str:
+    """Verify information using implicit caching"""
+    prompt = f"""
+    YÊU CẦU XÁC MINH THÔNG TIN:
+    **Thông tin cần kiểm tra:** "{user_claim}"
+    **Phân tích và đánh giá:**
+    1. **Kết luận:** ĐÚNG / SAI / KHÔNG XÁC ĐỊNH / MỘT PHẦN ĐÚNG
+    2. **Phân tích chi tiết:**
+       - Bằng chứng hỗ trợ từ tài liệu
+       - Trích dẫn chính xác các phần liên quan
+       - Vị trí xuất hiện trong tài liệu
+    3. **Đánh giá độ tin cậy:**
+       - Mức độ tin cậy: Cao / Trung bình / Thấp
+       - Lý do đánh giá
+    4. **Thông tin bổ sung:**
+       - Ngữ cảnh liên quan
+       - Thông tin mâu thuẫn (nếu có)
+       - Giải thích chi tiết
+    5. **Kết luận cuối cùng:**
+       - Tóm tắt kết quả xác minh
+       - Khuyến nghị về việc sử dụng thông tin này
+    Vui lòng tìm kiếm toàn bộ tài liệu để đưa ra kết luận chính xác và đáng tin cậy nhất.
+    """
+    return generate_with_implicit_cache(client, prefix, prompt)
+def chat_with_document(client, prefix: str, question: str) -> str:
+    """Answer questions using implicit caching"""
+    prompt = f"""
+    YÊU CẦU TRẢ LỜI CÂU HỎI:
+    **Câu hỏi:** {question}
+    **Cấu trúc trả lời:**
+    1. **Trả lời trực tiếp:**
+       - Câu trả lời ngắn gọn, rõ ràng
+    2. **Thông tin chi tiết:**
+       - Giải thích đầy đủ và bối cảnh
+       - Trích dẫn các phần liên quan trong tài liệu
+    3. **Phân tích bổ sung:**
+       - Các góc nhìn khác nhau (nếu có)
+       - Thông tin liên quan hữu ích
+    4. **Kết luận và khuyến nghị:**
+       - Tóm tắt câu trả lời
+       - Đề xuất hành động (nếu phù hợp)
+    **Lưu ý:** Sử dụng toàn bộ thông tin có sẵn trong tài liệu để đưa ra câu trả lời hoàn chỉnh, chính xác và hữu ích nhất.
+    """
+    return generate_with_implicit_cache(client, prefix, prompt)
+# Main app
+def main():
+    st.title("📄 Document Analysis Chatbot with Implicit Caching")
+    # st.markdown("*Powered by Gemini 2.5 Flash with Automatic Cost Optimization*")
+    # st.markdown("---")
+    # Load data protection rules automatically on startup
+    if not st.session_state.data_protection_rules:
+        with st.spinner("Đang tải quy định bảo vệ dữ liệu..."):
+            st.session_state.data_protection_rules = load_data_protection_rules()
+    # Setup Gemini client
+    client = setup_gemini()
+    if not client:
+        st.warning("⚠️ Vui lòng cấu hình Gemini API Key để bắt đầu!")
+        st.sidebar.markdown(
+            """
+        ### 🔧 Cấu hình API Key:
+        **Cách 1 (Khuyến nghị):** Tạo file `.env`
+        ```
+        GEMINI_API_KEY=your_api_key_here
+        ```
+        **Cách 2:** Nhập trực tiếp ở sidebar
+        ### 📝 Lấy API Key:
+        1. Truy cập [Google AI Studio](https://makersuite.google.com/app/apikey)
+        2. Tạo API Key mới
+        3. Sao chép và cấu hình
+        """
+        )
+        return
+    # File upload section
+    st.sidebar.header("📁 Upload Tài liệu")
+    uploaded_file = st.sidebar.file_uploader(
+        "Chọn tài liệu cần phân tích",
+        type=["pdf", "doc", "txt", "md", "docx"],
+        help="Hỗ trợ định dạng PDF, MARKDOWN, DOC/DOCX, TXT",
+    )
+    # Show data protection status
+    st.sidebar.header("⚖️ Quy định bảo vệ dữ liệu")
+    if "File quy định gốc không được tìm thấy" in st.session_state.data_protection_rules:
+        st.sidebar.warning("⚠️ Sử dụng quy định mặc định")
+        st.sidebar.info("Đặt file '13_2023_ND-CP.doc' trong thư mục gốc để tải quy định đầy đủ")
+    else:
+        st.sidebar.success("✅ Đã tải Nghị định 13/2023/NĐ-CP")
+    # Process uploaded files and create common prefix for implicit caching
+    if uploaded_file:
+        with st.spinner("Đang xử lý tài liệu..."):
+            content = extract_text_from_file(uploaded_file)
+            if content:
+                st.session_state.document_content = content
+                st.sidebar.success(f"✅ Đã tải tài liệu: {uploaded_file.name}")
+                # Create common prefix for implicit caching optimization
+                st.session_state.common_prefix = create_common_prefix(
+                    st.session_state.document_content, st.session_state.data_protection_rules
+                )
+                # Show token count for optimization insight
+                total_tokens = count_tokens(client, st.session_state.common_prefix)
+                if total_tokens >= 1024:
+                    st.sidebar.success(f"🚀 Optimized for implicit caching ({total_tokens:,} tokens)")
+                else:
+                    st.sidebar.info(f"📊 Document loaded ({total_tokens:,} tokens)")
+    # Main interface
+    if st.session_state.document_content:
+        # Create tabs for different features
+        tab1, tab2, tab3, tab4 = st.tabs(["💬 Chat", "📋 Tóm tắt", "✅ Xác minh", "⚖️ Kiểm tra tuân thủ"])
+        with tab1:
+            st.header("💬 Đặt câu hỏi về tài liệu")
+            # Create a container for chat messages
+            prompt = st.chat_input("Đặt câu hỏi về tài liệu...")
+            with st.container(height=500):
+                # Display chat history
+                for message in st.session_state.messages:
+                    with st.chat_message(message["role"]):
+                        st.markdown(message["content"])
+                # Chat input
+                if prompt:
+                    # Add user message
+                    st.session_state.messages.append({"role": "user", "content": prompt})
+                    with st.chat_message("user"):
+                        st.markdown(prompt)
+                    # Get AI response using implicit caching
+                    with st.chat_message("assistant"):
+                        with st.spinner("Đang suy nghĩ..."):
+                            response = chat_with_document(client, st.session_state.common_prefix, prompt)
+                            st.markdown(response)
+                            st.session_state.messages.append({"role": "assistant", "content": response})
+                # Force rerun to show new messages and auto-scroll
+        with tab2:
+            # # Auto-generate summary
+            # if not st.session_state.document_summary:
+            #     with st.spinner("Tạo tóm tắt với implicit caching..."):
+            #         st.session_state.document_summary = summarize_document(client, st.session_state.common_prefix)
+            # else:
+            st.header("📋 Tóm tắt tài liệu")
+            if (
+                st.session_state.document_summary
+                and "Error processing (Assignment 2 Final Project LLMs02): " not in st.session_state.document_summary
+            ):
+                st.markdown(st.session_state.document_summary)
+            else:
+                if st.button("Tạo tóm tắt tài liệu"):
+                    with st.spinner("Đang tóm tắt tài liệu với implicit caching..."):
+                        summary = summarize_document(client, st.session_state.document_content)
+                        st.session_state.document_summary = summary
+                        st.markdown(summary)
+        with tab3:
+            st.header("✅ Xác minh thông tin")
+            claim = st.text_area("Nhập thông tin cần xác minh:", height=100)
+            if st.button("Kiểm tra thông tin"):
+                if claim:
+                    with st.spinner("Đang xác minh với implicit caching..."):
+                        verification = verify_information(client, st.session_state.common_prefix, claim)
+                        st.markdown("### Kết quả xác minh:")
+                        st.markdown(verification)
+                else:
+                    st.warning("Vui lòng nhập thông tin cần xác minh!")
+        with tab4:
+            st.header("⚖️ Kiểm tra tuân thủ bảo vệ dữ liệu")
+            if st.button("Kiểm tra vi phạm"):
+                with st.spinner("Đang phân tích tuân thủ với implicit caching..."):
+                    compliance = check_data_protection_compliance(client, st.session_state.common_prefix)
+                    st.markdown("### Kết quả kiểm tra:")
+                    st.markdown(compliance)
+    else:
+        st.info("👆 Vui lòng upload tài liệu trong sidebar để bắt đầu!")
+        # Show implicit caching benefits
+        st.markdown(
+            """
+        ### 🚀 Tính năng Implicit Caching tự động với Gemini 2.5 Flash:
+        #### 💰 **Tiết kiệm chi phí tự động**
+        - **Không cần cấu hình**: Implicit caching được bật mặc định
+        - **Tiết kiệm thông minh**: Tự động phát hiện và tái sử dụng nội dung chung
+        - **Chi phí giảm**: Chỉ tính phí cho token mới, không tính lại token đã cache
+        #### ⚡ **Tối ưu hóa hiệu suất**
+        - **Nội dung lớn ở đầu**: Đặt tài liệu và quy định ở vị trí đầu tiên
+        - **Prefix chung**: Sử dụng cùng một prefix cho tất cả yêu cầu
+        - **Batching thông minh**: Gửi các yêu cầu tương tự trong thời gian ngắn
+        #### 📊 **Theo dõi hiệu quả**
+        - **Token tracking**: Hiển thị số token được cache hit
+        - **Cost monitoring**: Theo dõi tiết kiệm chi phí thực tế
+        - **Performance metrics**: Đo lường tốc độ và hiệu quả
+        #### 🎯 **Tối ưu cho phân tích tài liệu**
+        - **Full document processing**: Xử lý toàn bộ tài liệu không giới hạn
+        - **Consistent context**: Duy trì bối cảnh nhất quán qua các truy vấn
+        - **Smart prefixing**: Tự động tối ưu thứ tự nội dung
+        """
+        )
+if __name__ == "__main__":
+    main()

documents/13_2023_ND-CP_465185.txt ADDED Viewed

	@@ -0,0 +1,920 @@

+CHÍNH PHỦ
+--------
+CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
+Độc lập - Tự do - Hạnh phúc
+---------------
+Số: 13/2023/NĐ-CP
+Hà Nội, ngày 17 tháng 4 năm 2023
+NGHỊ ĐỊNH
+BẢO VỆ DỮ LIỆU CÁ NHÂN
+Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
+Căn cứ Bộ luật Dân sự ngày 24 tháng 11 năm 2015;
+Căn cứ Luật An ninh quốc gia ngày 03 tháng 12 năm 2004;
+Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;
+Theo đề nghị của Bộ trưởng Bộ Công an;
+Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân.
+Chương I
+NHỮNG QUY ĐỊNH CHUNG
+Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
+1. Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
+2. Nghị định này áp dụng đối với:
+a) Cơ quan, tổ chức, cá nhân Việt Nam;
+b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
+c) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
+d) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
+Điều 2. Giải thích từ ngữ
+Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
+1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
+2. Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
+3. Dữ liệu cá nhân cơ bản bao gồm:
+a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
+b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
+c) Giới tính;
+d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
+đ) Quốc tịch;
+e) Hình ảnh của cá nhân;
+g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
+h) Tình trạng hôn nhân;
+i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
+k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
+l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
+4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
+a) Quan điểm chính trị, quan điểm tôn giáo;
+b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
+c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
+d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
+đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
+e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
+g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
+h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
+i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ ��ịnh vị;
+k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
+5. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
+6. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.
+7. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
+8. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
+9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
+10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
+11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
+12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
+13. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
+14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
+a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
+b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
+Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
+1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
+2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
+4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
+5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
+6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
+7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
+8. Bên Kiểm soát dữ liệu, Bên Ki���m soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
+Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
+Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
+Điều 5. Quản lý nhà nước về bảo vệ dữ liệu cá nhân
+Chính phủ thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân.
+Nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân gồm:
+1. Trình cơ quan nhà nước có thẩm quyền ban hành hoặc ban hành theo thẩm quyền văn bản quy phạm pháp luật và chỉ đạo, tổ chức thực hiện văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
+2. Xây dựng và tổ chức thực hiện chiến lược, chính sách, đề án, dự án, chương trình, kế hoạch về bảo vệ dữ liệu cá nhân.
+3. Hướng dẫn cơ quan, tổ chức, cá nhân về biện pháp, quy trình, tiêu chuẩn bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
+4. Tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân; truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân.
+5. Xây dựng, đào tạo, bồi dưỡng cán bộ, công chức, viên chức và người được giao làm công tác bảo vệ dữ liệu cá nhân.
+6. Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
+7. Thống kê, thông tin, báo cáo về tình hình bảo vệ dữ liệu cá nhân và việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.
+8. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
+Điều 6. Áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế
+Việc bảo vệ dữ liệu cá nhân được thực hiện theo quy định các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên, các quy định khác của Luật có liên quan và Nghị định này.
+Điều 7. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân
+1. Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân.
+2. Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của các quốc gia khác, bao gồm thông báo, đề nghị khiếu nại, trợ giúp điều tra và trao đổi thông tin, với các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân.
+3. Tổ chức các hội nghị, hội thảo, nghiên cứu khoa học và thúc đẩy các hoạt động hợp tác quốc tế trong việc thực thi pháp luật để bảo vệ dữ liệu cá nhân.
+4. Tổ chức các cuộc gặp song phương, đa phương, trao đổi kinh nghiệm xây dựng pháp luật và thực tiễn bảo vệ dữ liệu cá nhân.
+5. Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.
+Điều 8. Hành vi bị nghiêm cấm
+1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
+2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
+3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
+4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
+5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
+Chương II
+HOẠT ĐỘNG BẢO VỆ DỮ LIỆU CÁ NHÂN
+Mục 1. QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU
+Điều 9. Quyền của chủ thể dữ liệu
+1. Quyền được biết
+Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+2. Quyền đồng ý
+Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.
+3. Quyền truy cập
+Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+4. Quyền rút lại sự đồng ý
+Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
+5. Quyền xóa dữ liệu
+Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+6. Quyền hạn chế xử lý dữ liệu
+a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;
+b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
+7. Quyền cung cấp dữ liệu
+Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+8. Quyền phản đối xử lý dữ liệu
+a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;
+b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
+9. Quyền khiếu nại, tố cáo, khởi kiện
+Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
+10. Quyền yêu cầu bồi thường thiệt hại
+Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
+11. Quyền tự bảo vệ
+Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
+Điều 10. Nghĩa vụ của chủ thể dữ liệu
+1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
+2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
+3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
+4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
+5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
+Mục 2. BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN
+Điều 11. Sự đồng ý của chủ thể dữ liệu
+1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
+2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
+a) Loại dữ liệu cá nhân được xử lý;
+b) Mục đích xử lý dữ liệu cá nhân;
+c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
+d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
+3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
+4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
+5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
+6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
+7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
+8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
+9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
+10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
+11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
+Điều 12. Rút lại sự đồng ý
+1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
+2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
+3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
+4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.
+Điều 13. Thông báo xử lý dữ liệu cá nhân
+1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
+2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
+a) Mục đích xử lý;
+b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
+c) Cách thức xử lý;
+d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
+đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
+e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
+3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
+4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
+a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này;
+b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
+Điều 14. Cung cấp dữ liệu cá nhân
+1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
+2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân:
+a) Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
+b) Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
+3. Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
+4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp:
+a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
+b) Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;
+c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.
+5. Hình thức yêu cầu cung cấp dữ liệu cá nhân:
+a) Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.
+Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân.
+Trường hợp tổ chức, cá nhân yêu cầu cung cấp thông tin không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận yêu cầu cung cấp thông tin có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân;
+b) Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01, 02 tại Phụ lục của Nghị định này qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
+6. Phiếu yêu cầu cung cấp dữ liệu cá nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
+a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có);
+b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
+c) Hình thức cung cấp dữ liệu cá nhân;
+d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân.
+7. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.
+8. Tiếp nhận yêu cầu cung cấp dữ liệu cá nhân
+a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu;
+b) Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân.
+9. Giải quyết yêu cầu cung cấp dữ liệu cá nhân
+Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.
+Điều 15. Chỉnh sửa dữ liệu cá nhân
+1. Chủ thể dữ liệu:
+a) Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác;
+b) Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
+2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
+3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.
+Điều 16. Lưu trữ, xóa, hủy dữ liệu cá nhân
+1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:
+a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
+b) Rút lại sự đồng ý;
+c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
+d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
+đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
+2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:
+a) Pháp luật quy định không cho phép xóa dữ liệu;
+b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
+c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
+d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
+đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
+e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
+3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
+4. Trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
+5. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
+6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
+7. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba xóa không thể khôi phục trong trường hợp:
+a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý;
+b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba;
+c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
+Điều 17. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
+1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
+2. Việc công khai dữ liệu cá nhân theo quy định của luật.
+3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
+4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
+5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
+Điều 18. Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
+Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
+Điều 19. Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
+1. Việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại Điều 17 và Điều 18 Nghị định này.
+2. Trường hợp không có tất cả những người được nêu tại khoản 1 Điều này thì được coi là không có sự đồng ý.
+Điều 20. Xử lý dữ liệu cá nhân của trẻ em
+1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
+2. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em.
+3. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
+a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;
+b) Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;
+c) Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
+Điều 21. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo
+1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản ph���m quảng cáo khi có sự đồng ý của chủ thể dữ liệu.
+2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
+3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này.
+Điều 22. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân
+1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
+2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
+Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
+1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
+2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
+3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
+a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
+b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
+c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
+d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
+4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
+5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
+6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:
+a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
+b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
+c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
+d) Trường hợp khác theo quy định của pháp luật.
+Mục 3. ĐÁNH GIÁ TÁC ĐỘNG VÀ CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI
+Điều 24. Đánh giá tác động xử lý dữ liệu cá nhân
+1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
+Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
+a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
+b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
+c) Mục đích xử lý dữ liệu cá nhân;
+d) Các loại dữ liệu cá nhân được xử lý;
+đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
+e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
+g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
+h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
+i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
+2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
+a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
+b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
+c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
+d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
+đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
+e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
+g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
+3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
+4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
+5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
+6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này.
+Điều 25. Chuyển dữ liệu cá nhân ra nước ngoài
+1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba.
+2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:
+a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
+b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
+c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
+d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
+đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
+e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
+g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
+h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
+3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
+Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
+4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
+5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
+6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
+7. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
+8. Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:
+a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
+b) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này;
+c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
+Mục 4. BIỆN PHÁP, ĐIỀU KIỆN BẢO ĐẢM BẢO VỆ DỮ LIỆU CÁ NHÂN
+Điều 26. Biện pháp bảo vệ dữ liệu cá nhân
+1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
+2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
+a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
+b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
+c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
+d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
+đ) Các biện pháp khác theo quy định của pháp luật.
+Điều 27. Bảo vệ dữ liệu cá nhân cơ bản
+1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này.
+2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này.
+3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
+4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
+Điều 28. Bảo vệ dữ liệu cá nhân nhạy cảm
+1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này.
+2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
+3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này.
+Điều 29. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
+1. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
+2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân:
+a) Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
+b) Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân;
+c) Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân;
+d) Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng;
+đ) Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
+e) Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;
+g) Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
+h) Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
+i) Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
+Điều 30. Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân
+1. Lực lượng bảo vệ dữ liệu cá nhân:
+a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
+b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
+c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
+d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
+2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
+3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
+Điều 31. Kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân
+1. Nguồn tài chính thực hiện bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước; ủng hộ của cơ quan, tổ chức, cá nhân trong và ngoài nước; nguồn thu từ hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân; viện trợ quốc tế và các nguồn thu hợp pháp khác.
+2. Kinh phí bảo vệ dữ liệu cá nhân của cơ quan nhà nước do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước được thực hiện theo quy định của pháp luật về ngân sách nhà nước.
+3. Kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp tự bố trí và thực hiện theo quy định.
+Chương III
+TRÁCH NHIỆM CỦA CƠ QUAN, T��� CHỨC, CÁ NHÂN
+Điều 32. Trách nhiệm của Bộ Công an
+1. Giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
+2. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
+3. Xây dựng, quản lý, vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
+4. Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
+5. Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
+6. Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
+7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật
+Điều 33. Trách nhiệm của Bộ Thông tin và Truyền thông
+1. Chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này.
+2. Xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, bảo đảm an toàn thông tin mạng đối với dữ liệu cá nhân trong các hoạt động thông tin và truyền thông theo chức năng, nhiệm vụ được giao.
+3. Phối hợp với Bộ Công an trong thanh tra, kiểm tra, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
+Điều 34. Trách nhiệm của Bộ Quốc phòng
+Quản lý, thanh tra, kiểm tra, giám sát, xử lý vi phạm và áp dụng các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ Quốc phòng theo quy định pháp luật và chức năng, nhiệm vụ được giao.
+Điều 35. Trách nhiệm của Bộ Khoa học và Công nghệ
+1. Phối hợp với Bộ Công an trong xây dựng Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng Tiêu chuẩn bảo vệ dữ liệu cá nhân.
+2. Nghiên cứu, trao đổi Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân theo kịp sự phát triển của khoa học, công nghệ.
+Điều 36. Trách nhiệm của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ
+1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
+2. Xây dựng và triển khai các nội dung, nhiệm vụ bảo vệ dữ liệu cá nhân tại Nghị định này.
+3. Bổ sung các quy định bảo vệ dữ liệu cá nhân trong xây dựng, triển khai các nhiệm vụ của các bộ, ngành.
+4. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
+5. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
+Điều 37. Trách nhiệm của Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương
+1. Thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực quản lý theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
+2. Triển khai các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
+3. Bố trí kinh phí phục vụ hoạt động bảo vệ dữ liệu cá nhân theo phân cấp quản lý ngân sách hiện hành.
+4. Ban hành Danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
+Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
+1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
+2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
+3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
+4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
+5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
+6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
+7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
+Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
+1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
+2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
+3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
+4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
+5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
+6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
+Điều 40. Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu
+Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
+Điều 41. Trách nhiệm của Bên thứ Ba
+Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này.
+Điều 42. Trách nhiệm của tổ chức, cá nhân có liên quan
+1. Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
+2. Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.
+3. Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
+4. Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
+Chương IV
+ĐIỀU KHOẢN THI HÀNH
+Điều 43. Hiệu lực thi hành
+1. Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023.
+2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.
+3. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 Điều này.
+Điều 44. Trách nhiệm thi hành
+1. Bộ trưởng Bộ Công an đôn đốc, kiểm tra, hướng dẫn việc thực hiện Nghị định này.
+2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương chịu trách nhiệm thi hành Nghị định này./.
+Nơi nhận:
+- Ban Bí thư Trung ương Đảng;
+- Thủ tướng, các Phó Thủ tướng Chính phủ;
+- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
+- HĐND, UBND các tỉnh, thành phố trực thuộc trung ương;
+- Văn phòng Trung ương và các Ban của Đảng;
+- Văn phòng Tổng Bí thư;
+- Văn phòng Chủ tịch nước;
+- Hội đồng Dân tộc và các Ủy ban của Quốc hội;
+- Văn phòng Quốc hội;
+- Viện kiểm sát nhân dân tối cao;
+- Tòa án nhân dân tối cao;
+- Kiểm toán nhà nước;
+- Ủy ban Giám sát tài chính Quốc gia;
+- Ngân hàng Chính sách xã hội;
+- Ngân hàng Phát triển Việt Nam;
+- Ủy ban trung ương Mặt trận Tổ quốc Việt Nam;
+- Cơ quan trung ương của các đoàn thể;
+- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
+- Lưu: VT, KSTT (2b)TM.
+TM. CHÍNH PHỦ
+KT. THỦ TƯỚNG
+PHÓ THỦ TƯỚNG
+Trần Lưu Quang
+Phụ lục
+(Kèm theo Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ)
+Mẫu số 01
+Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho cá nhân)
+Mẫu số 02
+Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho tổ chức, doanh nghiệp)
+Mẫu số 03
+Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
+Mẫu số 04
+Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
+Mẫu số 05
+Thông báo thay đổi nội dung hồ sơ
+Mẫu số 06
+Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

documents/Chính sách bảo mật dữ liệu cá nhân - VnExpress.txt ADDED Viewed

	@@ -0,0 +1,255 @@

+Chính sách bảo mật dữ liệu cá nhân
+Chính sách bảo mật dữ liệu cá nhân (“Chính sách”) mô tả các hoạt động liên quan đến việc xử lý dữ liệu cá nhân của Người dùng khi truy cập vào trang web hoặc ứng dụng Báo VnExpress (“VnExpress”).
+1. Đối tượng và phạm vi áp dụng
+Chính sách này điều chỉnh cách thức mà VnExpress thu thập và xử lý, lưu trữ dữ liệu cá nhân của Người dùng sử dụng hoặc tương tác với các sản phẩm, trang web, ứng dụng hoặc dịch vụ của VnExpress
+Để tránh nhầm lẫn, Chính sách bảo mật dữ liệu này chỉ áp dụng cho người dùng là cá nhân. VnExpress khuyến khích người dùng đọc kỹ Chính sách này và thường xuyên kiểm tra trang tin điện tử để cập nhật bất kỳ thay đổi nào mà VnExpress có thể thực hiện theo các điều khoản của Chính sách.
+2. Giải thích từ ngữ
+2.1. “Người dùng”
+Là cá nhân tiếp cận, tìm hiểu, đăng ký, sử dụng hoặc có liên quan trong quy trình hoạt động, cung cấp các sản phẩm, dịch vụ của VnExpress.
+2.2. “Dữ liệu cá nhân” hay “DLCN”
+Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
+Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
+2.3. Dữ liệu cá nhân cơ bản bao gồm:
+(a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có)
+(b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
+(c) Giới tính
+(d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ
+(e) Quốc tịch
+(f) Hình ảnh của cá nhân
+(g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế
+(h) Tình trạng hôn nhân
+(i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái)
+(j) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng
+(k) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc Dữ liệu cá nhân nhạy cảm.
+(l) Các dữ liệu khác theo quy định pháp luật hiện hành
+2.4. Dữ liệu cá nhân nhạy cảm
+Dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
+(a) Quan điểm chính trị, quan điểm tôn giáo
+(b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu
+(c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc
+(d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân
+(e) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân
+(f) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân
+(g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật
+(h) Thông tin Người dùng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh Người dùng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán
+(i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị
+(j) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
+2.5. Bảo vệ dữ liệu cá nhân
+Là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
+2.6. Xử lý dữ liệu cá nhân
+Là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, gi��i mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
+2.7. Bên thứ ba
+Là tổ chức, cá nhân khác ngoài VnExpress và người dùng đã được giải thích theo Chính sách này.
+Để làm rõ hơn, các từ ngữ nào chưa được giải thích tại Điều này sẽ được hiểu và áp dụng theo pháp luật Việt Nam.
+3. Mục đích xử lý dữ liệu cá nhân
+3.1. VnExpress có thể xử lý dữ liệu cá nhân của Người dùng cho một hoặc nhiều mục đích sau đây:
+(a) Cung cấp sản phẩm hoặc dịch vụ của VnExpress
+(b) Điều chỉnh, cập nhật, bảo mật và cải tiến các sản phẩm, dịch vụ, ứng dụng mà VnExpress đang cung cấp cho người dùng
+(c) Xác minh danh tính và đảm bảo tính bảo mật thông tin cá nhân của Người dùng;
+(d) Đáp ứng các yêu cầu dịch vụ và nhu cầu hỗ trợ của Người dùng
+(e) Thông báo cho Người dùng về những thay đổi đối với các chính sách, khuyến mại của các sản phẩm, dịch vụ mà VnExpress đang cung cấp
+(f) Đo lường, phân tích dữ liệu nội bộ và các xử lý khác để cải thiện, nâng cao chất lượng dịch vụ/sản phẩm của VnExpress hoặc thực hiện các hoạt động truyền thông tiếp thị
+(g) Ngặn chặn và phòng chống gian lận, đánh cắp danh tính và các hoạt động bất hợp pháp khác
+(h) Để có cơ sở thiết lập, thực thi các quyền hợp pháp hoặc bảo vệ các khiếu nại pháp lý của VnExpress, Người dùng hoặc bất kỳ cá nhân nào. Các mục đích này có thể bao gồm việc trao đổi dữ liệu với VnExpress và tổ chức khác để ngăn chặn và phát hiện gian lận, giảm rủi ro về tín dụng
+(i) Tuân thủ pháp luật hiện hành, các tiêu chuẩn ngành có liên quan và các chính sách hiện hành khác của VnExpress
+(j) Bất kỳ mục đích nào khác dành riêng cho hoạt động vận hành của VnExpress
+3.2. VnExpress sẽ yêu cầu sự cho phép của Người dùng trước khi sử dụng dữ liệu cá nhân của Người dùng theo bất kỳ mục đích nào khác ngoài các mục đích đã được nêu tại Điều 3.1 trên, vào thời điểm thu thập dữ liệu cá nhân của Người dùng hoặc trước khi bắt đầu xử lý liên quan hoặc theo yêu cầu khác hoặc được pháp luật hiện hành cho phép.
+4. Bảo mật Dữ liệu cá nhân Người dùng
+4.1. Dữ liệu cá nhân của Người dùng được cam kết bảo mật tối đa theo quy định của VnExpress và quy định của pháp luật. Việc xử lý Dữ liệu cá nhân của mỗi Người dùng chỉ được thực hiện khi có sự đồng ý của Người dùng, trừ trường hợp pháp luật có quy định khác.
+4.2. VnExpress không sử dụng, chuyển giao, cung cấp hay chia sẻ cho bên thứ ba nào về Dữ liệu cá nhân của Người dùng khi không có sự đồng ý của Người dùng, trừ trường hợp pháp luật có quy định khác.
+4.3. VnExpress sẽ tuân thủ các nguyên tắc bảo mật dữ liệu cá nhân khác theo quy định pháp luật hiện hành.
+4.4. VnExpress sử dụng nhiều công nghệ bảo mật thông tin khác nhau nhằm bảo vệ Dữ liệu cá nhân của Người dùng không bị truy lục, sử dụng hoặc chia sẻ ngoài ý muốn. Tuy nhiên, không một dữ liệu nào có thể được bảo mật 100%. Do vậy, VnExpress cam kết sẽ bảo mật một cách tối đa Dữ liệu cá nhân của Người dùng. Một số hậu quả, thiệt hại không mong muốn có thể xảy ra bao gồm nhưng không giới hạn:
+(a) Lỗi phần cứng, phần mềm trong quá trình xử lý dữ liệu làm mất dữ liệu của Người dùng
+(b) Lỗ hổng bảo mật nằm ngoài khả năng kiểm soát của VnExpress, hệ thống có liên quan bị hacker tấn công gây lộ dữ liệu
+(c) Người dùng tự làm lộ dữ liệu cá nhân do: bất cẩn hoặc bị lừa đảo; truy cập các website/tải các ứng dụng có chứa phần mềm độc hại...
+4.5. Người dùng nên bảo quản thiết bị điện tử trong quá trình sử dụng; Người dùng nên khóa, đăng xuất, hoặc thoát khỏi tài khoản trên website hoặc ứng dụng của VnExpress khi không sử dụng.
+5. Các loại dữ liệu cá nhân mà VnExpress thu thập, xử lý
+Để VnExpress có thể cung cấp các sản phẩm, dịch vụ cho Người dùng và/hoặc xử lý các yêu cầu của Người dùng, VnExpress có thể cần phải và/hoặc được yêu cầu phải thu thập dữ liệu cá nhân, bao gồm
+(a) Dữ liệu cá nhân cơ bản của Người dùng và các cá nhân có liên quan của Người dùng
+(b) Dữ liệu cá nhân nhạy cảm của Người dùng và các cá nhân có liên quan của Người dùng
+(c) Dữ liệu liên quan đến các trang tin điện tử hoặc ứng dụng: dữ liệu kỹ thuật (như đã nêu ở trên, bao gồm loại thiết bị, hệ điều hành, loại trình duyệt, cài đặt trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với trang tin điện tử, thống kê sử dụng ứng dụng, cài đặt ứng dụng, ngày và giờ kết nối với ứng dụng, dữ liệu vị trí và thông tin liên lạc kỹ thuật khác); chi tiết đăng nhập bảo mật; dữ liệu sử dụng, ...
+(d) Dữ liệu tiếp thị: các mối quan tâm đối với quảng cáo; dữ liệu cookie; dữ liệu clickstream; lịch sử duyệt web; phản ứng với tiếp thị trực tiếp; và lựa chọn không tham gia tiếp thị trực tiếp.
+6. Cách thức thu thập dữ liệu cá nhân
+VnExpress thực hiện thu thập dữ liệu cá nhân từ Người dùng theo các phương thức sau:
+6.1. Trực tiếp từ Người dùng bằng các phương tiện khác nhau
+(a) Khi Người dùng gửi yêu cầu đăng ký hoặc bất kỳ biểu mẫu nào khác liên quan tới các sản phẩm và dịch vụ của VnExpress;
+(b) Khi Người dùng tương tác với nhân viên dịch vụ Người dùng của VnExpress, ví dụ như thông qua các cuộc gọi điện thoại, thư từ, gặp mặt trực tiếp, gửi thư điện tử hoặc tương tác trên mạng xã hội
+(c) Khi Người dùng sử dụng các trang web và ứng dụng của VnExpress
+(d) Khi Người dùng được liên hệ và phản hồi lại các đại diện tiếp thị và các nhân viên dịch vụ Người dùng của VnExpress
+(e) Khi Người dùng gửi thông tin cá nhân của mình cho VnExpress vì bất kỳ lý do nào khác, bao gồm cả khi Người dùng đăng ký sử dụng thử miễn phí bất kỳ sản phẩm và dịch vụ nào hoặc khi Người dùng thể hiện quan tâm đến bất kỳ sản phẩm và dịch vụ nào của VnExpress
+6.2. Từ các bên thứ ba khác:
+(a) Nếu Người dùng tương tác với nội dung hoặc quảng cáo của bên thứ ba trên trang tin điện tử hoặc trong ứng dụng, VnExpress có thể nhận được thông tin cá nhân của Người dùng từ bên thứ ba có liên quan, theo chính sách bảo mật hiện hành hợp pháp của bên thứ ba đó.
+(b) Nếu Người dùng chọn thanh toán điện tử trực tiếp tới VnExpress hoặc thông qua trang tin điện tử hoặc ứng dụng, VnExpress có thể nhận được dữ liệu cá nhân của Người dùng từ các bên thứ ba, chẳng hạn như nhà cung cấp dịch vụ thanh toán, cho mục đích thanh toán đó.
+(c) Để tuân thủ các nghĩa vụ của mình theo luật hiện hành, VnExpress có thể tiếp nhận dữ liệu cá nhân về Người dùng từ các cơ quan pháp luật và cơ quan công quyền theo quy định pháp luật.
+(d) VnExpress có thể tiếp nhận được dữ liệu cá nhân về Người dùng từ các nguồn công khai (như danh bạ điện thoại, thông tin quảng cáo/tờ rơi, các thông tin được công khai trên các trang tin điện tử).
+Bất cứ khi nào thu thập dữ liệu cá nhân như vậy, VnExpress sẽ đảm bảo việc nhận dữ liệu từ các bên thứ ba có liên quan theo những cách hợp pháp, đồng thời yêu cầu các bên thứ ba đó chịu trách nhiệm tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân.
+7. Tổ Chức Được Xử Lý Dữ Liệu Cá Nhân
+7.1. VnExpress sẽ thực hiện việc chia sẻ hoặc cùng xử lý dữ liệu cá nhân với các tổ chức, cá nhân sau:
+(a) Các nhà thầu, đại lý, đối tác, các nhà cung cấp dịch vụ vận hành của VnExpress.
+(b) Các chi nhánh, đơn vị kinh doanh và các cán bộ nhân viên làm việc tại các chi nhánh, đơn vị kinh doanh, đại lý của VnExpress.
+(c) Các doanh nghiệp kinh doanh viễn thông trong trường hợp Người dùng vi phạm nghĩa vụ thanh toán cước dịch vụ.
+(d) Các cố vấn chuyên nghiệp của VnExpress như kiểm toán, luật sư,… theo quy định của pháp luật.
+(e) Tòa án, các cơ quan nhà nước có thẩm quyền phù hợp với quy định của pháp luật và/hoặc khi được yêu cầu và pháp luật cho phép.
+7.2. VnExpress cam kết việc chia sẻ hoặc cùng xử lý dữ liệu cá nhân chỉ thực hiện trong trường hợp cần thiết để thực hiện các Mục Đích Xử Lý được nêu tại Chính sách này hoặc theo quy định của pháp luật. Các tổ chức, cá nhân nhận được dữ liệu cá nhân của Người dùng sẽ phải tuân thủ theo nội dung quy định tại Chính sách này và quy định của pháp luật về bảo vệ dữ liệu cá nhân liên quan.
+Mặc dù VnExpress sẽ thực hiện mọi nỗ lực để đảm bảo rằng các thông tin Người dùng được ẩn danh/mã hóa, nhưng không thể loại trừ hoàn toàn rủi ro các dữ liệu này có thể bị tiết lộ trong những trường hợp bất khả kháng.
+7.3. Trong trường hợp có sự tham gia của các tổ chức xử lý dữ liệu cá nhân khác được nêu tại Điều này, Người dùng đồng ý VnExpress sẽ thông báo cho Người dùng trước khi VnExpress thực hiện.
+8. Xử lý dữ liệu cá nhân trong một số trường hợp đặc biệt
+VnExpress đảm bảo thực hiện xử lý dữ liệu cá nhân của Người dùng đáp ứng đầy đủ các yêu cầu của Pháp luật trong các trường hợp đặc biệt nêu sau:
+8.1 VnExpress luôn tôn trọng và bảo vệ dữ liệu cá nhân của trẻ em. Ngoài các biện pháp bảo vệ dữ liệu cá nhân được quy định theo pháp luật, trước khi xử lý dữ liệu cá nhân của trẻ em, VnExpress sẽ thực hiện xác minh tuổi của trẻ em và yêu cầu sự đồng ý của (i) trẻ em và/hoặc (ii) cha, mẹ hoặc người giám hộ của trẻ em theo quy định của pháp luật.
+8.2 Bên cạnh tuân thủ theo các quy định pháp luật có liên quan khác, đối với việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích/ người đã chết, VnExpress sẽ phải được sự đồng ý của một trong số những người có liên quan theo quy định của pháp luật hiện hành.
+9. Quyền và nghĩa vụ của người dùng liên quan đến dữ liệu cá nhân cung cấp cho VnExpress
+9.1. Người dùng có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
+(a) Người dùng được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
+(b) Người dùng được quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa Dữ liệu cá nhân của mình bằng văn bản gửi đến VnExpress, trừ trường hợp luật có quy định khác.
+(c) Người dùng có quyền rút lại sự đồng ý của mình bằng văn bản gửi đến VnExpress, trừ trường hợp pháp luật có quy định khác. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được Người dùng đồng ý với VnExpress trước khi rút lại sự đồng ý.
+(d) Người dùng được quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình bằng văn bản gửi đến VnExpress, trừ trường hợp luật có quy định khác.
+(e) Người dùng được quyền yêu cầu hạn chế xử lý Dữ liệu cá nhân của mình bằng văn bản gửi đến VnExpress, trừ trường hợp luật có quy định khác. Việc hạn chế xử lý dữ liệu sẽ được VnExpress thực hiện trong 72 giờ sau khi có yêu cầu của Người dùng, với toàn bộ Dữ liệu cá nhân mà Người dùng yêu cầu hạn chế, trừ trường hợp pháp luật có quy định khác.
+(f) Người dùng được quyền yêu cầu VnExpress cung cấp cho bản thân Dữ liệu cá nhân của mình bằng văn bản gửi đến VnExpress, trừ trường hợp luật có quy định khác.
+(g) Người dùng được quyền phản đối VnExpress, Tổ Chức Được Xử Lý Dữ Liệu Cá Nhân quy định tại Chính sách này xử lý dữ liệu cá nhân của mình bằng văn bản gửi đến VnExpress nhằm ngăn chặn hoặc hạn chế việc tiết lộ DLCN hoặc sử dụng DLCN cho mục đích quảng cáo, tiếp thị, trừ trường hợp pháp luật có quy định khác. VnExpress sẽ thực hiện yêu cầu của Người dùng trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
+(h) Người dùng có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
+(i) Người dùng có quyền yêu cầu bồi thường đối với thiệt hại thực tế theo quy định của pháp luật nếu VnExpress có hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
+(j) Người dùng có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các ph��ơng thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
+(k) Các quyền khác theo quy định của pháp luật hiện hành.
+9.2. Nghĩa vụ của người dùng
+(a) Tuân thủ các quy định của pháp luật, quy định, hướng dẫn của VnExpress liên quan đến xử lý Dữ liệu cá nhân của Người dùng.
+(b) Cung cấp đầy đủ, trung thực, chính xác Dữ liệu cá nhân, các thông tin khác theo yêu cầu của VnExpress khi đăng ký và sử dụng dịch vụ của VnExpress và khi có thay đổi về các thông tin này. VnExpress sẽ tiến hành bảo mật Dữ liệu cá nhân của Người dùng căn cứ trên thông tin Người dùng đã đăng ký, do đó nếu có bất kỳ thông tin sai lệch nào VnExpress sẽ không chịu trách nhiệm trong trường hợp thông tin đó làm ảnh hưởng hoặc hạn chế quyền lợi của Người dùng. Trường hợp không thông báo, nếu có phát sinh rủi ro, tổn thất thì Người dùng chịu trách nhiệm về những sai sót hay hành vi lợi dụng, lừa đảo khi sử dụng dịch vụ do lỗi của mình hoặc do không cung cấp đúng, đầy đủ, chính xác, kịp thời sự thay đổi thông tin; bao gồm cả thiệt hại về tài chính, chi phí phát sinh do thông tin cung cấp sai hoặc không thống nhất.
+(c) Phối hợp với VnExpress, cơ quan nhà nước có thẩm quyền hoặc bên thứ ba trong trường hợp phát sinh các vấn đề ảnh hưởng đến tính bảo mật Dữ liệu cá nhân của Người dùng.
+(d) Tự bảo vệ dữ liệu cá nhân của mình; chủ động áp dụng các biện pháp nhằm bảo vệ Dữ liệu cá nhân của mình trong quá trình sử dụng dịch vụ của VnExpress; thông báo kịp thời cho VnExpress khi phát hiện thấy có sai sót, nhầm lẫn về Dữ liệu cá nhân của mình hoặc nghi ngờ Dữ liệu cá nhân của mình đang bị xâm phạm.
+(e) Tự chịu trách nhiệm đối với những thông tin, dữ liệu, chấp thuận mà mình tạo lập, cung cấp trên môi trường mạng; tự chịu trách nhiệm trong trường hợp dữ liệu cá nhân bị rò rỉ, xâm phạm do lỗi của mình.
+(f) Thường xuyên cập nhật các Quy định, Chính sách của VnExpress trong từng thời kỳ được thông báo tới Người dùng hoặc đăng tải trên các website và hoặc các kênh giao dịch khác của VnExpress từng thời kỳ. Thực hiện các hành động theo hướng dẫn của VnExpress để thể hiện rõ việc chấp thuận hoặc không chấp thuận đối với các mục đích xử lý Dữ liệu cá nhân mà VnExpress thông báo tới Người dùng trong từng thời kỳ.
+(g) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
+(h) Các trách nhiệm khác theo quy định của pháp luật.
+10. Lưu trữ dữ liệu cá nhân
+VnExpress cam kết sẽ chỉ lưu trữ dữ liệu cá nhân của Người dùng trong trường hợp liên quan đến các mục đích được nêu trong Chính sách này. VnExpress cũng có thể cần lưu trữ dữ liệu cá nhân của quý khách trong một giai đoạn thời gian, chẳng hạn như khi pháp luật hiện hành yêu cầu.
+11. Xử lý dữ liệu cá nhân có yếu tố nước ngoài
+11.1. Nhằm thực hiện mục đích xử lý dữ liệu cá nhân tại Chính sách này, VnExpress có thể phải cung cấp/chia sẻ dữ liệu cá nhân của Người dùng đến các bên thứ ba liên quan của VnExpress và các bên thứ ba này có thể tại Việt Nam hoặc bất cứ địa điểm nào khác nằm ngoài lãnh thổ Việt Nam.
+11.2. Khi thực hiện việc cung cấp/chia sẻ dữ liệu cá nhân ra nước ngoài, VnExpress sẽ yêu cầu bên tiếp nhận đảm bảo rằng dữ liệu cá nhân của Người dùng được chuyển giao cho họ sẽ bảo mật và an toàn. VnExpress đảm bảo tuân thủ các nghĩa vụ pháp lý và quy định liên quan đến việc chuyển giao dữ liệu cá nhân của Người dùng.
+11.3 Người dùng tại Liên Minh Châu Âu (EU): Dữ liệu cá nhân của Người dùng có thể được truy cập, chuyển giao và/hoặc lưu trữ bên ngoài Khu vực Kinh tế Châu Âu (EEA), bao gồm cả các quốc gia có thể có mức độ bảo vệ dữ liệu thấp hơn theo luật bảo vệ dữ liệu của EU. VnExpress phải tuân thủ các quy tắc cụ thể khi chuyển Dữ liệu Cá nhân từ bên trong EEA ra bên ngoài EEA. Khi đó, VnExpress sẽ sử dụng các biện pháp bảo vệ thích hợp để bảo vệ mọi Dữ liệu Cá nhân được chuyển giao.
+12. Cookies
+12.1. Khi Người dùng sử dụng hoặc truy cập các website, trang tin trực tuyến (sau đây gọi chung là “trang tin điện tử”) của VnExpress, VnExpress có thể đặt một hoặc nhiều cookie trên thiết bị của Người dùng. “Cookie” là một tệp nhỏ được đặt trên thiết bị của Người dùng khi Người dùng truy cập một trang tin điện tử, nó ghi lại thông tin về thiết bị, trình duyệt của Người dùng và trong một số trường hợp, sở thích và thói quen duyệt tin điện tử của Người dùng.
+VnExpress có thể sử dụng thông tin này để nhận diện Người dùng khi Người dùng quay lại các trang tin điện tử của VnExpress, để cung cấp các dịch vụ được cá nhân hóa trên các trang tin điện tử của VnExpress, để biên soạn số liệu phân tích nhằm hiểu rõ hơn về hoạt động của trang tin điện tử và để cải thiện các trang tin điện tử của VnExpress. Người dùng có thể sử dụng cài đặt trình duyệt của mình để xóa hoặc chặn cookie trên thiết bị của mình. Tuy nhiên, nếu Người dùng quyết định không chấp nhận hoặc chặn cookie từ các trang tin điện tử của VnExpress, Người dùng có thể không tận dụng hết tất cả các tính năng của các trang tin điện tử của VnExpress.
+12.2. VnExpress có thể xử lý thông tin cá nhân của Người dùng thông qua công nghệ cookie, theo các quy định của Điều khoản này. VnExpress cũng có thể sử dụng biện pháp tiếp thị lại để phân phát quảng cáo cho những cá nhân mà VnExpress biết trước đây đã truy cập trang tin điện tử của mình.
+12.3. Trong phạm vi các bên thứ ba đã gán nội dung lên trên các trang tin điện tử của VnExpress (ví dụ: các tính năng truyền thông xã hội), các bên thứ ba đó có thể thu thập thông tin cá nhân của Người dùng (ví dụ: dữ liệu cookie) nếu Người dùng chọn tương tác với nội dung của bên thứ ba đó hoặc sử dụng các dịch vụ của bên thứ ba.
+13. Thông tin liên hệ xử lý dữ liệu cá nhân
+Trường hợp Người dùng có bất kỳ câu hỏi nào liên quan đến Chính sách này hoặc các vấn đề liên quan đến quyền của chủ thể dữ liệu hoặc xử lý dữ liệu cá nhân của Người dùng, Người dùng hàng có thể sử dụng các hình thức liên hệ nêu sau:
+Gửi thư về VnExpress theo địa chỉ: [email protected]
+14. Điều khoản chung
+14.1. Chính sách này có hiệu lực từ ngày 01/08/2023. Người dùng hiểu và đồng ý rằng, Chính sách này có thể được sửa đổi theo từng thời kỳ và được thông báo tới Người dùng thông qua các Kênh giao dịch của VnExpress trước khi áp dụng. Những thay đổi và thời điểm có hiệu lực sẽ được cập nhật và công bố tại các Kênh giao dịch và các kênh khác của VnExpress. Việc Người dùng tiếp tục sử dụng dịch vụ sau thời hạn thông báo về các nội dung sửa đổi, bổ sung trong từng thời kỳ đồng nghĩa với việc Người dùng đã chấp nhận các nội dung sửa đổi, bổ sung đó.
+14.2. Người dùng đã biết rõ và đồng ý bản Chính sách này cũng là Thông báo xử lý dữ liệu cá nhân quy định tại Điều 13 Nghị định 13/NĐ-CP/2023 và được sửa đổi, bổ sung trong từng thời kỳ trước khi VnExpress tiến hành Xử lý dữ liệu cá nhân. Theo đó. VnExpress không cần thực hiện thêm bất kỳ biện pháp nào khác nằm mục đích thông báo việc Xử lý dữ liệu cá nhân cho Người dùng.
+14.3. Người dùng cam kết thực hiện nghiêm túc các quy định tại Chính sách này. Các vấn đề chưa được quy định, các Bên thống nhất thực hiện theo quy định của pháp luật, hướng dẫn của cơ quan Nhà nước có thẩm quyền và/hoặc các sửa đổi, bổ sung Chính sách này được VnExpress thông báo cho Người dùng trong từng thời kỳ.
+14.4. Người dùng có thể thấy quảng cáo hoặc nội dung khác trên bất kỳ trang tin điện tử, ứng dụng hoặc thiết bị nào có thể liên kết đến các trang tin điện tử hoặc dịch vụ của các đối tác, nhà quảng cáo, nhà tài trợ hoặc các bên thứ ba khác. VnExpress không kiểm soát nội dung hoặc các liên kết xuất hiện trên các trang tin điện tử hoặc dịch vụ của bên thứ ba và không chịu trách nhiệm hoặc/và trách nhiệm pháp lý đối với các hoạt động được sử dụng bởi các trang tin điện tử hoặc dịch vụ của bên thứ ba được liên kết đến hoặc từ bất kỳ trang tin điện tử, ứng dụng hoặc thiết bị nào. Các trang tin điện tử và dịch vụ này có thể tuân theo các chính sách bảo mật và điều khoản sử dụng của riêng của bên thứ ba.
+14.5. Chính sách này được giao kết trên cơ sở thiện chí giữa VnExpress và Người dùng. Trong quá trình thực hiện nếu phát sinh tranh chấp, các Bên sẽ chủ động giải quyết thông qua thương lượng, hòa giải. Trường hợp hòa giải không thành, tranh chấp sẽ được đưa ra Tòa án nhân dân có thẩm quyền để giải quyết theo quy định của pháp luật.

requirements.txt CHANGED Viewed

@@ -1,3 +1,6 @@
 streamlit
-numpy
-pandas

 streamlit
+google-genai
+PyPDF2
+python-docx
+python-dotenv
+Spire.Doc