Vào chiều 26/6, Quốc hội đã biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân (DLCN) với 433/435 đại biểu tham gia tán thành. Luật sẽ chính thức có hiệu lực từ ngày 1/1/2026.
Đây là một bước đi quan trọng nhằm tạo hành lang pháp lý rõ ràng, đồng bộ và phù hợp với thực tiễn quản lý, bảo vệ thông tin cá nhân ở Việt Nam. Luật đưa ra một số khái niệm mới, quy định miễn trừ và nghĩa vụ bổ sung so với Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (PDPD) hiện hành, trong khi các nội dung khác về cơ bản vẫn được giữ nguyên.
Một số điểm nổi bật của Luật Bảo vệ dữ liệu cá nhân
- Dữ liệu cá nhân sẽ được phân loại chi tiết hơn thông qua danh mục dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm do Chính phủ ban hành.
- Cách tiếp cận dựa trên sự đồng ý vốn được áp dụng trong PDPD tiếp tục được duy trì, đồng thời bổ sung thêm một số trường hợp miễn trừ đối với các hoạt động xử lý dữ liệu nhất định.
- Yêu cầu về đánh giá tác động xử lý dữ liệu cá nhân (DPIA) và đánh giá tác động chuyển dữ liệu (TIA) về cơ bản không thay đổi. Tuy nhiên, có một số trường hợp miễn trừ mới đối với TIA, bao gồm việc xử lý và lưu trữ dữ liệu nhân viên trên nền tảng điện toán đám mây, hoặc khi chính chủ thể dữ liệu tự gửi dữ liệu của mình ra nước ngoài.
- Sự đồng ý đã được thu thập theo quy định của PDPD vẫn có giá trị dưới PDPL. Hồ sơ DPIA và TIA đã nộp theo PDPD cũng được công nhận nhưng có thể cần cập nhật để đáp ứng các yêu cầu mới của PDPL.
- Mức phạt hành chính phụ thuộc vào tính chất vi phạm:
- Đối với hành vi mua bán dữ liệu cá nhân, mức phạt sẽ bằng 10 lần khoản doanh thu bất hợp pháp từ hành vi vi phạm hoặc 3 tỷ đồng (khoảng 115.000 USD), tùy theo mức nào cao hơn.
- Đối với vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt là 5% doanh thu của năm liền trước hoặc 3 tỷ đồng, tùy theo mức nào cao hơn.
- Các vi phạm khác bị phạt tối đa 3 tỷ đồng.
- Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được hưởng thời gian ân hạn 5 năm kể từ ngày PDPL có hiệu lực để tuân thủ quy định về lập hồ sơ đánh giá tác động và chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. Hộ kinh doanh và doanh nghiệp siêu nhỏ được miễn thực hiện các yêu cầu này. Tuy nhiên, các trường hợp miễn trừ và ân hạn không áp dụng nếu xử lý khối lượng lớn dữ liệu cá nhân, cung cấp dịch vụ xử lý dữ liệu, hoặc xử lý trực tiếp dữ liệu cá nhân nhạy cảm.
Quy định trách nhiệm của các bên trong Luật Bảo vệ dữ liệu cá nhân
Dự thảo Luật đã được Ủy ban Thường vụ Quốc hội chỉ đạo rà soát, chỉnh lý để bảo đảm ngắn gọn, rõ ràng, thực chất, tránh trùng lặp với các luật khác và phù hợp thực tiễn. Luật quy định cụ thể về phân cấp quản lý nhà nước và trách nhiệm của bên kiểm soát, bên xử lý dữ liệu cá nhân, bên thứ ba và lực lượng bảo vệ dữ liệu cá nhân.
Số dịch vụ quản lý được tinh giản mạnh mẽ từ 5 dịch vụ xuống chỉ còn 1 dịch vụ duy nhất là Dịch vụ xử lý dữ liệu cá nhân. Đồng thời, luật bỏ các quy định chi tiết về thủ tục hành chính, điều kiện kinh doanh dịch vụ bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
So với dự thảo Chính phủ trình trước đó, dự thảo cuối cùng rút gọn còn 5 chương và 39 điều, bảo đảm thống nhất với hệ thống pháp luật trong nước và tương thích với các điều ước quốc tế mà Việt Nam tham gia.
Cấm mua bán dữ liệu cá nhân (trừ trường hợp luật có quy định khác)
Một điểm nhấn quan trọng là quy định cấm mua bán dữ liệu cá nhân, ngoại trừ trường hợp có quy định pháp luật riêng. Ngoài ra, Điều 17 của Luật quy định chi tiết về các trường hợp được phép chuyển giao dữ liệu cá nhân, ví dụ:
- Khi có sự đồng ý của chủ thể dữ liệu.
- Giữa các bộ phận trong cùng một tổ chức để thực hiện mục đích đã xác lập.
- Trong quá trình sáp nhập, chia tách, chuyển đổi sở hữu, chấm dứt hoạt động.
- Chuyển giao theo yêu cầu của cơ quan nhà nước có thẩm quyền.
- Các trường hợp khác được quy định cụ thể tại luật.
Việc chuyển giao dữ liệu (dù có phí hay không) không được coi là mua bán nếu thuộc các trường hợp luật cho phép.
>> Tham khảo chi tiết nội dung tại: Quốc hội Việt Nam
7 hành vi Luật Bảo vệ dữ liệu cá nhân nghiêm cấm
Ưu tiên hỗ trợ doanh nghiệp nhỏ và khởi nghiệp
Nhằm giảm gánh nặng tuân thủ, Quốc hội đã bổ sung quy định đặc biệt:
- Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về:
- Lập hồ sơ đánh giá tác động
- Chỉ định bộ phận, nhân sự bảo vệ DLCN
- Ưu tiên này áp dụng trong 5 năm kể từ ngày Luật có hiệu lực. Miễn thực hiện hoàn toàn đối với hộ kinh doanh và doanh nghiệp siêu nhỏ. Tuy nhiên, những trường hợp xử lý dữ liệu cá nhân nhạy cảm hoặc khối lượng lớn dữ liệu sẽ không được áp dụng miễn trừ.
Doanh nghiệp cần chuẩn bị gì trước khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực?
Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ ngày 1/1/2026. Để sẵn sàng tuân thủ, doanh nghiệp nên chủ động thực hiện các bước chuẩn bị sau:
- Rà soát hoạt động xử lý dữ liệu từ quy trình thu thập, lưu trữ, sử dụng, chia sẻ và chuyển giao dữ liệu cá nhân hiện tại để xác định mức độ tuân thủ.
- Cập nhật chính sách và quy trình nội bộ phù hợp với các yêu cầu mới của luật.
- Lập hồ sơ đánh giá tác động xử lý dữ liệu (DPIA) cá nhân và, nếu áp dụng, hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài.
- Chỉ định nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân
- Tổ chức tập huấn cho nhân viên về nghĩa vụ bảo vệ dữ liệu cá nhân và các rủi ro vi phạm.
>> Xem chi tiết: Hướng dẫn doanh nghiệp tuân thủ đúng, đủ, kịp thời
Tổng kết
Luật Bảo vệ dữ liệu cá nhân vừa được Quốc hội thông qua đánh dấu bước tiến quan trọng trong xây dựng hành lang pháp lý bảo vệ quyền riêng tư, đồng thời tạo khuôn khổ chặt chẽ, minh bạch để nâng cao tiêu chuẩn bảo mật dữ liệu tại Việt Nam. Với tinh thần cởi mở, khả thi và hỗ trợ doanh nghiệp nhỏ cùng các quy định nghiêm khắc về xử lý vi phạm, luật này hứa hẹn hài hòa giữa bảo vệ dữ liệu và thúc đẩy phát triển kinh tế số hiện đại.