NHỮNG ĐIỂM ĐÁNG CHÚ Ý CỦA LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025
Phạm vi áp dụng rõ ràng hơn
So với Nghị Định 13/20/23/NĐ-CP, Luật BVDLCN 2025 quy định rõ ràng hơn về phạm vi áp dụng đối với các tổ chức, cơ quan và cá nhân nước ngoài. Cụ thể, đối với các tổ chức, cơ quan và cá nhân nước ngoài không hiện diện tại Việt Nam, Luật BVDLCN 2025 chỉ áp dụng khi các tổ chức, cơ quan và cá nhân này trực tiếp xử lý hoặc tham gia vào hoạt động xử lý DLCN của công dân Việt Nam hoặc người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước (Điểm c khoản 2 Điều 1 Luật BVDLCN 2025).
Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Tổ chức, cá nhân có hành vi vi phạm quy định có liên quan đến bảo vệ DLCN có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật (Khoản 1 Điều 8 Luật BVDLCN 2025). Trong đó, đối với hình thức xử phạt vi phạm hành chính, Luật BVDLCN 2025 phân loại mức phạt theo một số hành vi cụ thể như sau (Điều 8 Luật BVDLCN 2025):
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán DLCN là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền 03 tỷ đồng.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển DLCN xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền 03 tỷ đồng.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ DLCN là 03 tỷ đồng.
Phân loại dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm
Kế thừa quy định Nghị định 13/2023/NĐ-CP, Luật BVDLCN 2025 cũng phân loại DLCN thành 2 nhóm, bao gồm: (i) DLCN cơ bản và (ii) DLCN nhạy cảm. Tuy nhiên, danh mục dữ liệu tại 2 mục này không được quy định chi tiết trong Luật BVDLCN 2025 mà sẽ “thuộc danh mục do Chính phủ ban hành”.
Sự đồng ý của chủ thể dữ liệu cá nhân
Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác (Khoản 1 Điều 9 Luật BVDLCN 2025). Trong đó, Luật BVDLCN bổ sung các điều kiện nghiêm ngặt để sự đồng ý có hiệu lực pháp luật, bao gồm: (i) dựa trên sự tự nguyện; (ii) biết rõ loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân; bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân; các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
Sự đồng ý của chủ thể dữ liệu cá nhân phải được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản. Sự đồng ý phải được thể hiện đồng ý đối với từng mục đích, không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác, và đáng chú ý Luật BVDLCN có nêu rõ sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân
Luật BVDLCN 2025 quy định các trường hợp được phép xử lý DLCN mà không cần sự đồng ý của chủ thể dữ liệu cá nhân, đồng thời quy định nghĩa vụ thiết lập cơ chế giám sát khi xử lý dữ liệu cá nhân của các cơ quan, tổ chức, cá nhân liên quan (Điều 19 Luật BVDLCN 2025).
Chuyển giao dữ liệu cá nhân
Luật BVDLCN 2025 quy định các trường hợp cụ thể được phép chuyển giao DLCN (Điều 17 Luật BVDLCN 2025), bao gồm:
- Khi có sự đồng ý của chủ thể DLCN;
- Chia sẻ DLCN giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý DLCN phù hợp với mục đích xử lý đã xác lập;
- Chuyển giao DLCN để tiếp tục xử lý DLCN trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác;
- Bên kiểm soát DLCN, bên kiểm soát và xử lý DLCN chuyển giao DLCN cho bên xử lý DLCN, bên thứ ba để xử lý DLCN theo quy định;
- Chuyển giao DLCN theo yêu cầu của cơ quan nhà nước có thẩm quyền;
- Chuyển giao DLCN trong các trường hợp không cần sự đồng ý của chủ thể DLCN.
Chuyển dữ liệu cá nhân xuyên biên giới
Luật BVDLCN 2025 quy định 3 trường hợp được phép chuyển DLCN xuyên biên giới (Khoản 1 Điều 20 Luật BVDLCN 2025), bao gồm:
- Chuyển DLCN đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam;
- Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển DLCN cho tổ chức, cá nhân ở nước ngoài;
- Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý DLCN được thu thập tại Việt Nam.
Khi chuyển DLCN xuyên biên giới, cơ quan, tổ chức, cá nhân phải lập hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ DLCN trong thời gian 60 ngày kể từ ngày đầu tiên chuyển DLCN xuyên biên giới, trừ trường hợp quy định tại khoản 6 Điều 20 Luật BVDLCN 2025. Việc đánh giá được thực hiện 1 lần cho suốt thời gian hoạt động, và cập nhật đánh giá theo quy định tại Điều 22 Luật BVDLCN 2025 (Khoản 3 Điều 30 Luật BVDLCN 2025).
Nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân
Luật BVDLCN 2025 đặt ra nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân đối với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân. Việc đánh giá được thực hiện 1 lần cho suốt thời gian hoạt động của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, và cập nhật đánh giá theo quy định tại Điều 22 Luật BVDLCN 2025 (Điều 21, Điều 22 Luật BVDLCN 2025).
Bảo vệ dữ liệu cá nhân trong lao động, thông tin sức khoẻ, bảo hiểm, tài chính ngân hàng,…
Luật BVDLCN 2025 đưa ra những quy định điều chỉnh chi tiết trong một số lĩnh vực quan trọng như quản lý lao động, bảo hiểm, tài chính ngân hàng, tín dụng, quảng cáo, … Đáng chú ý là yêu cầu trong các lĩnh vực sau:
- Về tuyển dụng, quản lý, sử dụng người lao động (Điều 25 Luật BVDLCN 2025): Trong tuyển dụng, người sử dụng lao động (NSDLĐ) chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật; đồng thời NSDLĐ phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển. Trong quản lý người lao động (NLĐ), dữ liệu cá nhân của NLĐ phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận; phải xóa, hủy dữ liệu cá nhân của NLĐ khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
- Về thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm (Điều 26 Luật BVDLCN 2025): Phải có sự đồng ý của chủ thể dữ liệu cá nhân trong quá trình thu thập, xử lý dữ liệu cá nhân, trừ trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân. Đặc biệt, Luật BVDLCN 2025 cũng nêu rõ cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, bảo hiểm nhân thọ, trừ trường hợp có yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân hoặc trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân.
- Về hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng (Điều 27 Luật BVDLCN 2025): Các tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, tín dụng phải tuân thủ một số nội dung sau: (i) không được phép sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân; (ii) chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng; (iii) phải thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng,…
Cơ quan, tổ chức phải có nhân sự thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân
Luật BVDLCN 2025 liệt kê rõ các bộ phận, cơ quan, tổ chức có nhiệm vụ bảo vệ dữ liệu cá nhân. Trong đó, luật đặt ra yêu cầu cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (Khoản 2 Điều 33 Luật BVDLCN 2025). Điều kiện, nhiệm vụ cụ thể của bộ phận, nhân sự thực hiện bảo vệ dữ liệu cá nhân do Chính phủ quy định.
Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp phải thực hiện Đánh giá tác động xử lý dữ liệu cá nhân, và có bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân
Theo khoản 2 Điều 38 Luật BVDLCN 2025, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được quyền miễn trừ nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân và có bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày 01/01/2026. Hết thời hạn 5 năm, các doanh nghiệp này phải tuân thủ các nghĩa vụ theo đúng quy định của pháp luật.
Ngược lại, hộ kinh doanh, doanh nghiệp siêu nhỏ sẽ được miễn trừ các nghĩa vụ này, trừ hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.