Đăng ký Đăng tuyển
Springo

Những cập nhật về Luật Bảo vệ dữ liệu cá nhân mới

📌 Luật Bảo vệ Dữ liệu Cá nhân (BVDLCN) — Toàn văn đầu tiên về bảo vệ dữ liệu tại Việt Nam
Luật Bảo vệ Dữ liệu Cá nhân (BVDLCN) đã được Quốc hội thông qua ngày 26/6/2025 và có hiệu lực từ 01/01/2026. Đây là văn bản luật toàn diện đầu tiên điều chỉnh vấn đề bảo vệ dữ liệu cá nhân, đánh dấu bước đột phá lớn trong lịch sử pháp luật Việt Nam về lĩnh vực này.

Dưới đây là những yêu cầu tuân thủ chính theo Luật BVDLCN mà doanh nghiệp cần lưu ý, đặc biệt là những điểm mới hoặc khác so với Nghị định 13 trước đây.

1️⃣ Đối tượng điều chỉnh
Luật áp dụng cho:

  • Cơ quan, tổ chức, cá nhân Việt Nam.
  • Một số cơ quan, tổ chức, cá nhân nước ngoài nếu:
  • Tham gia hoặc liên quan đến việc xử lý dữ liệu cá nhân của công dân Việt Nam.
  • Tham gia hoặc liên quan đến việc xử lý dữ liệu cá nhân của người gốc Việt chưa xác định quốc tịch đang sống tại Việt Nam.

2️⃣ Định nghĩa & phân loại dữ liệu cá nhân

Thiết kế Tổng đãi ngộ (Total Rewards) theo khung SHRM
Khóa học SprinGO phù hợp

Thiết kế Tổng đãi ngộ (Total Rewards) theo khung SHRM

Khóa học “Thiết kế Tổng phần thưởng (Total Reward) chuẩn khung SHRM” giúp bạn nắm vững toàn bộ hệ thống đãi ngộ theo chuẩn...

Xem khóa học
  • Định nghĩa dữ liệu cá nhân được mở rộng, bao gồm cả thông tin trên giấy tờ truyền thống và dữ liệu điện tử.
  • Phân loại: Không còn liệt kê chi tiết như Nghị định 13 mà chỉ mô tả chung các nhóm dữ liệu cơ bản và nhạy cảm. Danh mục chi tiết sẽ được Chính phủ ban hành sau.

3️⃣ Hiệu lực pháp lý so với các luật khác
a) Áp dụng pháp luật

  • Luật, nghị quyết của Quốc hội ban hành trước Luật BVDLCN và không trái nguyên tắc của Luật BVDLCN: được áp dụng.
  • Luật, nghị quyết ban hành sau và có quy định khác: phải nêu rõ nội dung áp dụng hay không áp dụng theo Luật BVDLCN.

b) Giải quyết nghĩa vụ chồng chéo

  • Nếu dữ liệu đã được đánh giá tác động theo DPIA & CTIA của Luật BVDLCN thì không cần đánh giá rủi ro riêng theo Luật Dữ liệu.

4️⃣ Xử phạt vi phạm

  • Mua/bán dữ liệu: phạt 10 lần khoản thu hoặc 3 tỷ đồng (mức cao hơn).
  • Vi phạm chuyển dữ liệu xuyên biên giới: phạt 5% doanh thu năm trước hoặc 3 tỷ đồng.
  • Vi phạm khác: tối đa 3 tỷ đồng.

5️⃣ Xử lý dữ liệu không cần đồng ý
Luật bổ sung ngoại lệ mới: cho phép xử lý dữ liệu dựa trên thỏa thuận giữa chủ thể dữ liệu và bên liên quan, không chỉ trong phạm vi hợp đồng như Nghị định 13.

6️⃣ Nhân sự/bộ phận bảo vệ dữ liệu

  • Doanh nghiệp phải:
  • Chỉ định nhân sự/bộ phận nội bộ.
  • Hoặc thuê ngoài.

[*]Nhân sự phải đáp ứng điều kiện năng lực.
[*]Miễn trừ cho doanh nghiệp nhỏ, siêu nhỏ, khởi nghiệp nếu đủ điều kiện.

7️⃣ Chuyển dữ liệu cá nhân xuyên biên giới (CTIA)
Miễn CTIA trong các trường hợp:

  • Lưu trữ dữ liệu người lao động trên dịch vụ điện toán đám mây.
  • Chủ thể tự chuyển dữ liệu của mình.

Doanh nghiệp vẫn được coi là chuyển dữ liệu xuyên biên giới khi lưu trữ/ xử lý trên máy chủ nước ngoài, trừ các trường hợp miễn trừ trên.

8️⃣ Đánh giá tác động xử lý dữ liệu (DPIA)

  • Bên xử lý dữ liệu lập & lưu giữ DPIA thay mặt bên kiểm soát.
  • DPIA thực hiện 1 lần, cập nhật 6 tháng/lần hoặc khi có sự kiện đặc biệt.
  • Một số doanh nghiệp nhỏ được miễn.

9️⃣ Thông báo vi phạm

  • Bên thứ ba cũng phải thông báo vi phạm đến Bộ Công An.
  • Thời hạn thông báo: trong 72 giờ từ khi phát hiện, thay vì từ khi vi phạm xảy ra.

🔟 Bảo vệ nhóm chủ thể dễ tổn thương
Bảo vệ đặc biệt cho:

  • Trẻ em.
  • Người mất/hạn chế năng lực hành vi dân sự.
  • Người khó khăn về nhận thức, làm chủ hành vi.

Trẻ em từ 7 tuổi trở lên chỉ cần đồng ý khi xử lý để công bố/tiết lộ đời sống riêng tư, thay vì mọi trường hợp như Nghị định 13.

1️⃣1️⃣ Bảo vệ dữ liệu trong lao động

  • Không tuyển dụng → phải xóa dữ liệu ứng viên (trừ khi có thỏa thuận khác).
  • Chấm dứt hợp đồng → phải xóa dữ liệu người lao động (trừ trường hợp pháp luật/thỏa thuận cho phép giữ lại).

1️⃣2️⃣ Quy định đặc thù ngành
Một số ngành/lĩnh vực chịu yêu cầu nghiêm ngặt hơn:

  • Y tế, bảo hiểm.
  • Ngân hàng, tài chính, tín dụng.
  • Quảng cáo, mạng xã hội, dịch vụ truyền thông.
  • Công nghệ mới: AI, blockchain, điện toán đám mây…

Với dữ liệu sinh trắc học & vị trí: yêu cầu biện pháp bảo mật cao & cơ chế thông báo rõ ràng.

1️⃣3️⃣ Trường hợp chuyển tiếp

  • Hoạt động xử lý & thỏa thuận được thực hiện trước ngày Luật có hiệu lực vẫn hợp pháp, không cần xin lại đồng ý.
  • Hồ sơ DPIA & CTIA đã nộp theo Nghị định 13 vẫn được sử dụng.

📖 Kết luận
Khi ngày có hiệu lực của Luật đến gần, doanh nghiệp & tổ chức cần sớm:

  • Hiểu các yêu cầu của Luật BVDLCN.
  • Triển khai các biện pháp quản lý & kỹ thuật phù hợp.
  • Chuẩn bị nhân sự chuyên môn để đảm bảo tuân thủ.
Chia sẻ: