Với sự phát triển mạnh mẽ của công nghệ thông tin và yêu cầu ngày càng cao về bảo vệ quyền riêng tư, việc bảo vệ dữ liệu cá nhân đã trở thành nhiệm vụ quan trọng đối với các tổ chức phi chính phủ tại Việt Nam. Các tổ chức này thường xuyên thu thập, xử lý và lưu trữ thông tin cá nhân trong quá trình hoạt động, do đó, việc tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm pháp lý mà còn góp phần xây dựng uy tín và niềm tin.

Trong phạm vi bài viết này, VDPC sẽ làm rõ Trách nhiệm bảo vệ dữ liệu cá nhân của Tổ chức phi chính phủ tại Việt Nam, dựa trên các quy định của pháp luật.

I. Phạm vi áp dụng

Căn cứ: Điểm b Khoản 2 Điều 1 Luật bảo vệ dữ liệu cá nhân năm 2025

Tổ chức phi chính phủ tại Việt Nam nằm trong phạm vi áp dụng của Luật bảo vệ dữ liệu cá nhân năm 2025 (theo Dự thảo lần 4 – 26/06/2025).

II. Bộ phận, nhân sự chuyên trách để bảo vệ dữ liệu cá nhân

Căn cứ: Khoản 1, 2 Điều 33 Luật bảo vệ dữ liệu cá nhân năm 2025

– Theo quy định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong Tổ chức phi chính phủ cũng nằm trong lực lượng bảo vệ dữ liệu cá nhân.

– Tổ chức phi chính phủ cũng là tổ chức nên sẽ phải chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ về bảo vệ dữ liệu cá nhân.

III. Trách nhiệm bảo vệ dữ liệu cá nhân của Tổ chức PCP tại Việt Nam

Căn cứ: Khoản 1, 2 Điều 37 Luật bảo vệ dữ liệu cá nhân năm 2025

             Điều 20, 21 Luật bảo vệ dữ liệu cá nhân năm 2025

             Khoản 12 Điều 2 Luật bảo vệ dữ liệu cá nhân năm 2025

Tổ chức phi chính phủ là tổ chức nước ngoài hoạt động tại Việt Nam, nên Tổ chức phi chính phủ sẽ có các hoạt động liên quan tới việc chuyển dữ liệu xuyên biên giới và đóng vai trò là Bên xử lý dữ liệu cá nhân.

1. Trách nhiệm của Tổ chức phi chính phủ với vai trò là Bên xử lý DLCN

– Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

– Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu.

– Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định.

– Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.

– Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị,…

– Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

– Thực hiện các trách nhiệm khác theo quy định.

2. Trách nhiệm của Tổ chức phi chính phủ với vai trò là Bên kiểm soát DLCN

– Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân.

– Quyết định mục đích và phương tiện xử lý dữ liệu tại các văn bản, thỏa thuận với chủ thể.

– Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân.

– Thông báo hành vi vi phạm về bảo vệ dữ liệu cá nhân cho cơ quan chuyên trách.

– Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân.

– Bảo đảm các quyền của chủ thể dữ liệu cá nhân.

– Chịu trách nhiệm trước chủ thể dữ liệu về thiệt hại do quá trình xử lý dữ liệu gây ra.

– Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị,…

– Thực hiện các trách nhiệm khác theo quy định.

3. Trách nhiệm liên quan tới việc chuyển dữ liệu xuyên biên giới

– Lập 01 bộ hồ sơ để lưu trữ về đánh giá tác động chuyển DLCN xuyên biên giới.

– Gửi 01 bộ hồ sơ bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

– Cập nhật hồ sơ đánh giá tác động chuyển dữ liệu định kỳ 06 tháng khi có sự thay đổi.

4. Thực hiện thủ tục đánh giá tác động xử lý dữ liệu cá nhân

– Lập, lưu giữ tại tổ chức 01 bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

– Nộp 01 bộ hồ sơ bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

(trong thời gian 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân)

IV. Các biện pháp cần thiết để bảo vệ dữ liệu cá nhân

Căn cứ: Khoản 4 Điều 3 Luật bảo vệ dữ liệu cá nhân năm 2025

              Điểm a, b Khoản 2 Điều 26 Nghị định 13/2023/NĐ-CP

– Về biện pháp, theo Luật bảo vệ dữ liệu cá nhân năm 2025 (theo Dự thảo 4 – 26/06/2025) thì đối với bảo vệ dữ liệu cá nhân sẽ được thực hiện theo nguyên tắc đồng bộ, có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.

– Ngoài ra biện pháp để bảo vệ dữ liệu cá nhân đối với tổ chức tại Nghị định 13/2023/NĐ-CP:

+ Biện pháp quản lý do tổ chức có liên quan tới xử lý dữ liệu cá nhân thực hiện.

+ Biện pháp kỹ thuật do tổ chức có liên quan tới xử lý dữ liệu cá nhân thực hiện.

V. Hậu quả pháp lý khi vi phạm quy định về bảo vệ dữ liệu cá nhân

Căn cứ: Điều 8 Luật bảo vệ dữ liệu cá nhân năm 2025

– Nếu tổ chức hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân trong luật và các quy định khác có liên quan thì có thể sẽ bị xử phạt hành chính, truy cứu trách nhiệm hình sự tùy tính chất, mức độ… vi phạm và có thể phải bồi thường theo quy định.

– Về mức xử phạt hành chính với các hành vi như sau:

+ Mua, bán dữ liệu cá nhân: xử phạt 10 lần khoản thu có được từ hành vi vi phạm.

+ Chuyển dữ liệu cá nhân xuyên biên giới: xử phạt 5% doanh thu của năm trước liền kề.

+ Các vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân: xử phạt tối đa 03 tỉ đồng.

VI. Kết luận

Việc bảo vệ dữ liệu cá nhân không chỉ là nghĩa vụ pháp lý mà còn là trách nhiệm đạo đức của các tổ chức phi chính phủ tại Việt Nam trong việc bảo đảm quyền riêng tư và an toàn thông tin cho các cá nhân liên quan. Tuân thủ các quy định pháp luật, áp dụng các biện pháp bảo vệ dữ liệu hiệu quả và nâng cao nhận thức về vấn đề này sẽ giúp các tổ chức phi chính phủ hoạt động bền vững và minh bạch hơn.

Trên đây là nội dung tư vấn về Trách nhiệm bảo vệ dữ liệu cá nhân của Tổ chức phi chính phủ tại Việt Nam. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: