Tin pháp luật
Chính thức thông qua Luật Bảo vệ dữ liệu cá nhân
2025/07/03
Ngày 26 tháng 6 năm 2025, Quốc hội đã chính thức thông qua Luật Bảo vệ Dữ liệu Cá nhân. Luật này được xây dựng dựa trên Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, đã có hiệu lực từ tháng 7 năm 2023 (sau đây gọi là “Nghị định 13”). Luật sẽ có hiệu lực từ ngày 1 tháng 1 năm 2026.
Nghị định 13 là văn bản đầu tiên tại Việt Nam quy định toàn diện về việc xử lý dữ liệu cá nhân và hiện nay vẫn còn hiệu lực. Luật Bảo vệ dữ liệu cá nhân đồng thời sắp xếp lại các thuật ngữ, quy trình và làm rõ cơ chế quản lý, nhằm tạo thuận lợi cho doanh nghiệp trong quá trình triển khai và tuân thủ và có một số điểm mới đáng chú ý như sau:
1. Thời gian cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân xuyên biên giới
Theo Điều 22 Luật Bảo vệ dữ liệu cá nhân, doanh nghiệp có trách nhiệm cập nhật hồ sơ theo trường hợp sau đây:
• Cập nhật định kỳ: Định kỳ 6 tháng một lần khi có sự thay đổi hoặc;
• Cập nhật ngay: Khi doanh nghiệp, tổ chức chấm dứt hoạt động, tổ chức lại, giải thể, phá sản; thay đổi cá nhân, tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân; phát sinh ngành nghề, dịch vụ kinh doanh mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan đến dữ liệu cá nhân đã đăng ký
So với Nghị định 13/2023/NĐ-CP trước đây chưa quy định rõ tần suất cập nhật, quy định mới này siết chặt hơn, tạo ra cơ chế giám sát liên tục và cho phép cơ quan quản lý theo dõi sát sao hơn.
2. Mức phạt vi phạm hành chính tối đa
Luật bảo vệ dữ liệu cá nhân quy định các mức phạt tối đa đối với một số hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân tại Điều 8 Luật Bảo vệ dữ liệu cá nhân:
• Hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu từ hành vi vi phạm
• Hành vi vi phạm chuyển dữ liệu cá nhân xuyên biên giới đối với tổ chức có mức phạt tối đa là 5% doanh thu năm trước của tổ chức.
• Mức phạt tiền tối đa đối với các hành vi vi phạm khác trong lĩnh vực này là 3 tỷ đồng.
Chính phủ sẽ ban hành Nghị định về xử phạt vi phạm hành chính hướng dẫn thêm về mức xử phạt này.
3. Yêu cầu chặt chẽ hơn về lấy sự đồng ý của chủ thể dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân quy định bổ sung nghiêm ngặt hơn về lấy sự đồng ý của chủ thể dữ liệu tại Điều 9, ví dụ:
• Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý và phải có sự đồng ý riêng cho từng mục đích xử lý dữ liệu. Doanh nghiệp không được gom nhiều mục đích vào cùng một ô đồng ý chung như trước.
• Không được yêu cầu sự đồng ý đi kèm điều kiện khác hoặc ép buộc đồng ý dưới bất kỳ hình thức nào.
4. Quy định mới về bảo vệ dữ liệu cá nhân trong một số hoạt động cụ thể
Như bảo vệ dữ liệu cá nhân của trẻ em, trong tuyển dụng quản lý sử dụng NLĐ, đối với thông tin sức khỏe & hoạt động kinh doanh bảo hiểm, tài chính ngân hàng, quảng cáo, nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến, ghi âm ghi hình tại nơi công cộng,…
5. Đối với sự đồng ý và hồ sơ đã nộp theo Nghị định 13
Hoạt động xử lý dữ liệu cá nhân đang thực hiện mà đã được chủ thể dữ liệu cá nhân đồng ý hoặc theo thỏa thuận theo Nghị định 13 trước ngày Luật này có hiệu lực thi hành thì tiếp tục thực hiện, không phải xin đồng ý lại hoặc thỏa thuận lại.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, chuyển dữ liệu cá nhân ra nước ngoài đã được cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiếp nhận trước ngày Luật này có hiệu lực thì được tiếp tục sử dụng và không phải lập hồ sơ đánh giá tác động theo Luật này; việc cập nhật hồ sơ đã lập nêu trên sau ngày Luật này có hiệu lực thì thực hiện theo quy định của Luật này.
Như vậy, doanh nghiệp, tổ chức nên chủ động rà soát các nghĩa vụ về bảo vệ dữ liệu cá nhân theo Luật mới để có sự chuẩn bị trước khi Luật mới có hiệu lực vào đầu năm sau.
Danh mục tài liệu:
• Nghị định 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ.
• Luật Bảo vệ dữ liệu cá nhân năm 2025 được Quốc hội thông qua ngày 26/6/2025
https://duthaoonline.quochoi.vn/dt/luat-bao-ve-du-lieu-ca-nhan/250328101343391295
