Luật Bảo Vệ Dữ Liệu Cá Nhân Được Chờ Đợi Từ Lâu: Thay đổi những gì và doanh nghiệp của bạn bị tác động ra sao?

07/07/2025 17:00

Ngày 26 tháng 6 năm 2025, Quốc hội Việt Nam chính thức thông qua Luật Bảo Vệ Dữ Liệu Cá Nhân (Luật BVDLCN) và Luật BVDLCN sẽ có hiệu lực từ ngày 1 tháng 1 năm 2026. So với Nghị Định số 13/2023/NĐ-CP của Chính phủ ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân (Nghị Định 13), Luật BVDLCN đưa ra các quy định rõ ràng hơn nhằm hoàn thiện khung pháp lý về bảo vệ dữ liệu tại Việt Nam, đồng thời vẫn đảm bảo sự lưu chuyển tự do của dữ liệu. Chúng tôi sẽ trình bày một số điều khoản chính được quy định tại Luật BVDLCN trong Bản Cập Nhật Pháp Lý này.

 

1. Phạm vi áp dụng 

So với Nghị Định 13, Luật BVDLCN quy định rõ ràng hơn về phạm vi áp dụng đối với các tổ chức, cơ quan và cá nhân nước ngoài. Cụ thể, đối với các tổ chức, cơ quan và cá nhân nước ngoài không có hiện diện tại Việt Nam, Luật BVDLCN chỉ áp dụng khi các tổ chức, cơ quan và cá nhân này trực tiếp xử lý hoặc tham gia vào hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam hoặc người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

 

2. Xử phạt vi phạm hành chính

Luật BVDLCN quy định các mức phạt hành chính đáng kể đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, cụ thể như sau:

  • Đối với hành vi mua, bán dữ liệu cá nhân, mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm hoặc 3 tỷ VNĐ (khoảng 113.208 USD), tùy theo mức nào cao hơn.
  • Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của chủ thể vi phạm hoặc 3 tỷ VNĐ (khoảng 113.208 USD), tùy theo mức nào cao hơn.
  • Đối với các hành vi vi phạm khác, mức phạt tiền tối đa là 3 tỷ VNĐ (khoảng 113.208 USD).

Các mức phạt trên được áp dụng đối với tổ chức. Trường hợp cá nhân thực hiện cùng hành vi vi phạm, mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

 

3. Chuyển giao dữ liệu cá nhân

Luật BVDLCN quy định các trường hợp cụ thể được phép chuyển giao dữ liệu cá nhân, bao gồm:

  • khi có sự đồng ý của chủ thể dữ liệu;
  • chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập;
  • chuyển giao do tái cơ cấu cơ quan, tổ chức (ví dụ như chia, tách, sáp nhập hoặc tổ chức lại);
  • bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân hoặc bên thứ ba để xử lý theo quy định pháp luật;
  • chuyển giao theo yêu cầu của cơ quan nhà nước có thẩm quyền; và
  • chuyển giao mà không cần sự đồng ý của chủ thể dữ liệu trong một số trường hợp theo quy định pháp luật (ví dụ như để phục vụ hoạt động của các cơ quan nhà nước có thẩm quyền, thực hiện thỏa thuận của chủ thể dữ liệu với cơ quan, tổ chức hoặc cá nhân có liên quan).

 

4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Luật BVDLCN không quy định chi tiết về hồ sơ và thủ tục thực hiện đánh giá tác động xử lý dữ liệu cá nhân (ĐGTĐXLDL) và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (ĐGTĐCDL) mà giao cho Chính phủ quy định chi tiết. Luật BVDLCN đưa ra các nguyên tắc chung như sau:
 

4.1. Đối với ĐGTĐCDL, chủ thể thực hiện các hoạt động sau đây phải lập và gửi hồ sơ ĐGTĐCDL cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng sáu mươi (60) ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới:

  • Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ Việt Nam;
  • Cơ quan, tổ chức hoặc cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức hoặc cá nhân ở nước ngoài; và
  • Cơ quan, tổ chức hoặc cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

Tuy nhiên, Luật BVDLCN quy định các trường hợp ngoại lệ sau đây sẽ không phải thực hiện quy định về ĐGTĐCDL:

  • Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền;
  • Cơ quan hoặc tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây;
  • Chủ thể dữ liệu tự chuyển dữ liệu cá nhân của mình xuyên biên giới;
  • Các trường hợp khác theo quy định của Chính phủ.

4.2. Đối với ĐGTĐXLDL, các quy định của Luật BVDLCN phần lớn giống với quy định tại Nghị Định 13. Theo đó, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, và bên xử lý dữ liệu cá nhân phải lập và gửi hồ sơ ĐGTĐXLDL cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng sáu mươi (60) ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân. Theo Luật BVDLCN, các cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về ĐGTĐXLDL.

4.3. ĐGTĐXLDL và ĐGTĐCDL sẽ được thực hiện một (1) lần cho suốt thời gian hoạt động của cơ quan, tổ chức, doanh nghiệp và sẽ được cập nhật định kỳ sáu (6) tháng khi có sự thay đổi hoặc cập nhật ngay trong các trường hợp sau:

  • Khi cơ quan, tổ chức được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
  • Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
  • Khi phát sinh ngành, nghề, dịch vụ kinh doanh mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan đến dữ liệu cá nhân đã đăng ký trong hồ sơ ĐGTĐXLDL và ĐGTĐCDL.

Cần lưu ý rằng các hồ sơ ĐGTĐXLDL và ĐGTĐCDL đã nộp cho cơ quan có thẩm quyền theo quy định của Nghị Định 13 sẽ vẫn có hiệu lực. Các chủ thể không phải nộp lại các hồ sơ này theo quy định của Luật BVDLCN. Một điểm đáng chú ý khác là các cơ quan, tổ chức, cá nhân đã thực hiện ĐGTĐXLDL và ĐGTĐCDL theo quy định của Luật BVDLCN thì không phải thực hiện đánh giá rủi ro xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của pháp luật về dữ liệu.

 

5. Quy định chi tiết về bảo vệ dữ liệu cá nhân trong các hoạt động cụ thể

Luật BVDLCN đưa ra các yêu cầu mới về bảo vệ dữ liệu cá nhân áp dụng cho các hoạt động khác nhau, như tuyển dụng và quản lý người lao động; hoạt động kinh doanh bảo hiểm; tài chính và ngân hàng; kinh doanh dịch vụ quảng cáo; mạng xã hội; xử lý dữ liệu lớn, trí tuệ nhân tạo (AI), chuỗi khối, vũ trụ ảo, điện toán đám mây. 

Đáng chú ý, các điều khoản về tuyển dụng và quản lý người lao động quy định rõ rằng người sử dụng lao động chỉ được yêu cầu cung cấp dữ liệu cá nhân cần thiết cho mục đích tuyển dụng. Nếu người dự tuyển không được tuyển dụng, người sử dụng lao động phải xóa hoặc hủy dữ liệu cá nhân của họ, trừ trường hợp có thỏa thuận khác với người đã dự tuyển. Cách tiếp cận tương tự cũng được áp dụng đối với người lao động, theo đó khi chấm dứt hợp đồng lao động, người sử dụng lao động phải xóa hoặc hủy dữ liệu cá nhân của người lao động, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Trong lĩnh vực tài chính và ngân hàng, Luật BVDLCN quy định các trách nhiệm cụ thể cho tổ chức và cá nhân hoạt động trong lĩnh vực này, ví dụ như các tổ chức, cá nhân không được sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu; các tổ chức, cá nhân chỉ được thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định pháp luật; và phải kịp thời thông báo cho chủ thể dữ liệu trong trường hợp có bất kỳ vi phạm hoặc mất thông tin nào liên quan đến tài khoản ngân hàng, dữ liệu tài chính hoặc thông tin tín dụng.

Đối với lĩnh vực quảng cáo, Luật BVDLCN đưa ra các quy định chặt chẽ trong kinh doanh dịch vụ quảng cáo, đặc biệt là quy định cấm các tổ chức, cá nhân cung cấp dịch vụ quảng cáo thuê lại hoặc thỏa thuận để tổ chức, cá nhân khác thay mặt mình thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân.

Ngoài ra, để bảo vệ quyền con người trong bối cảnh kỹ thuật số ngày càng phát triển, việc sử dụng dữ liệu lớn, AI, chuỗi khối, vũ trụ ảo và điện toán đám mây phải tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp, phải sử dụng phương pháp xác thực, định danh phù hợp và phân quyền truy cập để xử lý dữ liệu cá nhân. Hơn nữa, việc xử lý dữ liệu cá nhân bằng AI phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân tương ứng.

Việc ban hành các quy định bảo vệ dữ liệu cá nhân theo lĩnh vực cụ thể nêu trên nhằm tăng cường khả năng bảo vệ dữ liệu cá nhân, vì đây là các lĩnh vực đặc biệt nhạy cảm và bất kỳ vi phạm nào trong các lĩnh vực này đều có thể gây ra những tác động tiêu cực nghiêm trọng đến quyền và lợi ích của chủ thể dữ liệu.
 

6. Lực lượng bảo vệ dữ liệu cá nhân 

Lực lượng bảo vệ dữ liệu cá nhân bao gồm, bên cạnh các chủ thể khác, (i) bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức, và (ii) tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

Các cơ quan, tổ chức có trách nhiệm chỉ định các bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê các tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (gọi chung là Yêu Cầu về Bộ Phận và Nhân Sự BVDLCN). Điều kiện cụ thể đối với các tổ chức và cá nhân này sẽ được Chính phủ quy định chi tiết.

 

7. Điều khoản chuyển tiếp

Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định về ĐGTĐXLDL và Yêu Cầu về Bộ Phận và Nhân Sự BVDLCN trong vòng năm (5) năm kể từ ngày Luật BVDLCN có hiệu lực. Doanh nghiệp siêu nhỏ và hộ kinh doanh không phải thực hiện các quy định này. Tuy nhiên, các miễn trừ này không áp dụng đối với các chủ thể cung cấp dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu.

 

Luật BVDLCN không có quy định cụ thể nào về hiệu lực của Nghị Định 13 sau khi Luật BVDLCN chính thức có hiệu lực. Tuy nhiên, một nghị định mới được dự kiến sẽ được ban hành để hướng dẫn chi tiết việc thi hành Luật BVDLCN, và sẽ thay thế Nghị Định 13.
 

 

Tải bản tin về máy tại đây: Legal Update (VN) - New Law on Personal Data Protection - July 2025.pdf

Bài viết này chỉ cung cấp một bản tóm tắt về chủ đề được đề cập, mà không có bất kỳ nghĩa vụ nào do Công ty Luật Frasers chịu trách nhiệm. 

Bản tóm tắt không nhằm mục đích cũng như không nên dựa vào nó để thay thế cho lời khuyên pháp lý.