Vị trí của cá nhân qua dịch vụ định vị là dữ liệu cá nhân nhạy cảm theo Luật Bảo vệ dữ liệu cá nhân (Hình từ Internet)
Chính phủ ban hành Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ 01/01/2026.
Theo đó, căn cứ điểm h khoản 1 Điều 4 Nghị định quy định Vị trí của cá nhân qua dịch vụ định vị là dữ liệu nhạy cảm.
Điều 4. Danh mục dữ liệu cá nhân nhạy cảm
1. Dữ liệu cá nhân nhạy cảm bao gồm:
h) Vị trí của cá nhân được xác định qua dịch vụ định vị;
Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học
Theo Điều 31 Luật Bảo vệ dữ liệu cá nhân quy định việc bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học như sau:
1. Dữ liệu vị trí cá nhân là dữ liệu được xác định thông qua công nghệ định vị để biết vị trí và giúp xác định con người cụ thể.
2. Dữ liệu sinh trắc học là dữ liệu về thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để xác định người đó.
3. Việc bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân được quy định như sau:
(i) Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác, trừ trường hợp có sự đồng ý của chủ thể dữ liệu cá nhân hoặc trường hợp có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật hoặc trường hợp pháp luật có quy định khác;
(ii) Tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân; có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan; cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân.
4. Việc bảo vệ dữ liệu sinh trắc học quy định như sau:
(i) Cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình; hạn chế quyền truy cập vào dữ liệu sinh trắc học; có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học; tuân thủ quy định của pháp luật và tiêu chuẩn quốc tế có liên quan;
(ii) Trường hợp xử lý dữ liệu sinh trắc học gây thiệt hại cho chủ thể dữ liệu cá nhân thì tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thông báo cho chủ thể dữ liệu cá nhân đó theo quy định của Chính phủ.
Cụ thể Điều 29 Nghị định 356/2025/NĐ-CP quy định Thông báo vi phạm đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học
1. Khi xảy ra sự cố vi phạm dữ liệu cá nhân liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học, bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm:
(i) Thông báo cho chủ thể dữ liệu bị ảnh hưởng trong thời hạn không quá 72 giờ kể từ thời điểm phát hiện vi phạm;
(ii) Báo cáo cho cơ quan nhà nước có thẩm quyền theo quy định tại Điều 28 Nghị định;
(iii) Ghi nhận, lưu trữ và cập nhật hồ sơ vi phạm phục vụ công tác thanh tra, kiểm tra và xử lý. Tổ chức phải lưu hồ sơ vi phạm trong thời gian tối thiểu 5 năm kể từ ngày khắc phục xong sự cố.
2. Thông báo cho chủ thể dữ liệu theo điểm a khoản 1 phải bao gồm tối thiểu các nội dung sau:
(i) Thời điểm và hình thức phát hiện vi phạm;
(ii) Loại dữ liệu bị ảnh hưởng (vị trí, sinh trắc học hoặc cả hai);
(iii) Mức độ nghiêm trọng và các rủi ro có thể xảy ra đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu;
(iv) Biện pháp đã, đang và sẽ được thực hiện để khắc phục sự cố và giảm thiểu thiệt hại;
(v) Hướng dẫn chủ thể dữ liệu thực hiện các biện pháp phòng ngừa, ngăn chặn tiếp theo;
(vi) Thông tin liên hệ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; bộ phận tiếp nhận, xử lý sự cố dữ liệu cá nhân tại tổ chức.
3. Trường hợp tổ chức, cá nhân không thể thông báo cho tất cả chủ thể dữ liệu cá nhân bị ảnh hưởng trong thời hạn nêu tại khoản 1 vì lý do kỹ thuật hoặc khẩn cấp, phải thực hiện:
(i) Thông báo công khai bằng phương tiện điện tử chính thức của tổ chức qua trang thông tin điện tử, ứng dụng;
(ii) Gửi thông báo cho chủ thể dữ liệu cá nhân liên quan ngay khi điều kiện kỹ thuật cho phép.
4. Trường hợp tổ chức, cá nhân không thực hiện thông báo đúng hạn hoặc cố tình trì hoãn, né tránh nghĩa vụ thông báo sẽ bị xem xét xử lý vi phạm theo quy định của pháp luật.
Xem thêm tại Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân
8
(028) 3930 3279
Hỗ trợ trực tuyến
0906 22 99 66
