Bài mới nhất
Thông tin Pháp luật

Những thay đổi về bảo vệ dữ liệu cá nhân theo Luật Bảo vệ Dữ liệu cá nhân mới

Dentons Luật Việt
Những thay đổi về bảo vệ dữ liệu cá nhân theo Luật Bảo vệ Dữ liệu cá nhân mới
8 phút đọc

Luật số 91/2025/QH15 về bảo vệ dữ liệu cá nhân (“Luật BVDLCN”) được Quốc Hội thông qua ngày 26/6/2025 sẽ có hiệu lực từ ngày 1/1/2026. Luật BVDLCN kế thừa quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13/2023/ND-CP”), văn bản pháp luật thống nhất đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Nếu các doanh nghiệp đã tuân thủ các quy định trong Nghị định 13/2023/ND-CP thì quy định trong Luật BVDLCN sẽ không có tác động đáng kể. Dentons Luật Việt cập nhật những thay đổi đáng chú ý về bảo vệ dữ liệu cá nhân trong Luật BVDLCN dưới đây:

1. Xử phạt các vi phạm về bảo vệ dữ liệu cá nhân

Luật BVDCN đã quy định hệ thống chế tài toàn diện đối với các hành vi vi phạm quy định về xử lý dữ liệu cá nhân. Tùy theo tính chất và mức độ vi phạm, tổ chức và cá nhân có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự và bồi thường thiệt hại (nếu có).

Mức phạt hành chính tối đa đối với tổ chức được quy định cụ thể như sau:

(i) Vi phạm quy định về chuyển dữ liệu xuyên biên giới: phạt tối đa bằng 5% doanh thu của năm trước liền kề. Trường hợp không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn mức trần - 3 tỷ đồng, mức phạt tối đa là 3 tỷ đồng.

(ii) Mua, bán dữ liệu cá nhân: phạt tối đa bằng 10 lần khoản thu từ hành vi vi phạm. Nếu không có khoản thu hoặc mức phạt tính theo khoản thu thấp hơn mức phạt trần (3 tỷ đồng), mức phạt tối đa là 3 tỷ đồng.

(iii) Các hành vi vi phạm khác: mức phạt tối đa là 3 tỷ đồng.

Mức phạt hành chính tối đa đối với cá nhân vi phạm sẽ bằng ½ mức phạt đối với tổ chức.

2. Khử nhận dạng dữ liệu cá nhân

Khử nhận dạng dữ liệu cá nhân là một khái niệm lần đầu được ghi nhận trong quy định về bảo vệ dữ liệu cá nhân của Việt Nam.

Đây được định nghĩa là quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân, và do đó không chịu sự điều chỉnh của Luật BVDLCN. Quy định này giảm đáng kể gánh nặng tuân thủ, cho phép doanh nghiệp khai thác các dữ liệu này một cách linh hoạt, và được kì vọng sẽ thúc đẩy sự phát triển của kinh tế dữ liệu tại Việt Nam. Cách tiếp cận này của Luật BVDLCN khá tương đồng với quy định về “anonymous data” của GPDR.

Mặc dù dữ liệu sau khi được khử nhận dạng sẽ không thuộc phạm vi điều chỉnh của Luật, nhưng quá trình khử nhận dạng sẽ phải tuân thủ các yêu cầu của Luật BVDLCN. Bên thực hiện việc khử nhận dạng có trách nhiệm kiểm soát và giám sát chặt chẽ quá trình khử nhận dạng dữ liệu cá nhân; ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng. Tuy vậy, Luật BVDLCN không quy định cụ thể về các biện pháp kỹ thuật để khử nhận dạng, cũng như không thiết lập một “ngưỡng” rõ ràng để xác định khi nào dữ liệu được coi là đã khử nhận dạng. Việc lựa chọn phương pháp và xác định mức độ khử nhận dạng phù hợp về nguyên tắc do bên thực hiện khử nhận dạng quyết định, hoặc theo yêu cầu của bên kiểm soát dữ liệu.

Sau khi dữ liệu khử nhận dạng được hình thành, rủi ro tái nhận dạng dường như được Luật BVDLCN chuyển sang cho bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu – là các chủ thể tiếp tục khai thác và sử dụng các tập dữ liệu này. Đây được xem là thách thức lớn nhất trong thực tiễn, bởi việc “khử nhận dạng hoàn toàn và vĩnh viễn” trên thực tế là rất khó đạt được. Theo thời gian, các thông tin phụ trợ từ nhiều nguồn khác nhau (như sự cố rò rỉ dữ liệu, dữ liệu khảo sát, hồ sơ công khai, hoặc thông tin do cá nhân tự công bố trên mạng xã hội), kết hợp với sự phát triển nhanh chóng của công nghệ phân tích dữ liệu quy mô lớn, có thể làm gia tăng đáng kể nguy cơ tái nhận dạng.

Do đó, các doanh nghiệp cần triển khai quy trình quản trị rủi ro liên tục, gồm: rà soát định kỳ dữ liệu phụ trợ, kiểm thử an ninh, theo dõi vi phạm, đánh giá mức độ rủi ro tái nhận dạng, và khi cần thiết, tiến hành khử nhận dạng lại.

Đối với các dạng dữ liệu trung gian như dữ liệu ẩn danh (pseudonymised data) – tức dữ liệu đã bị che giấu các yếu tố định danh và chỉ có thể xác định cá nhân khi kết hợp với tập dữ liệu bổ sung – Luật BVDLCN hiện chưa có quy định điều chỉnh riêng như GDPR. Tùy thuộc vào mức độ và khả năng xác định cá nhân, loại dữ liệu này trong từng trường hợp cụ thể có thể vẫn được coi là dữ liệu cá nhân, hoặc được xem là dữ liệu đã khử nhận dạng.

3. Nghĩa vụ lập và thông báo hồ sơ đánh giá tác động

Yêu cầu về lập và thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và khi chuyển dữ liệu cá nhân xuyên biên giới về cơ bản không thay đổi so với Nghị định 13/2023/NĐ-CP.

Tuy nhiên, nếu theo Nghị định 13/2023/ND-CP, mọi trường hợp chuyển dữ liệu ra nước ngoài đều phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Luật BVDLCN đã quy định về các trường hợp được miễn trừ như cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây; hoặc chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới.

Luật BVDLCN cũng đưa ra quy định mới về nghĩa vụ cập nhật định kỳ 6 tháng đối với các hồ sơ đánh giá tác động đã nộp khi có sự thay đổi hoặc phải cập nhật ngay khi xảy ra sự kiện: (i) tổ chức lại doanh nghiệp (hợp nhất, sáp nhập, chia, tách), giải thể, phá sản; (ii) thay đổi đơn vị cung cấp dịch vụ bảo vệ dữ liệu cá nhân; (iii) thay đổi ngành nghề dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký.

4. Bảo vệ dữ liệu cá nhân trong tuyển dụng, và quản lý lao động

Luật BVDLCN đã quy định rõ về phạm vi, mục đích thu thập và thời hạn lưu trữ các dữ liệu cá nhân thu thập từ ứng viên trong quá trình tuyển dụng. Theo đó, doanh nghiệp chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật. Nếu không có thỏa thuận khác, doanh nghiệp phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng. Do đó, nếu công ty có nhu cầu lưu giữ thông tin ứng viên cho nhu cầu tuyển dụng sau này, công ty cần có sự đồng ý từ ứng viên.

Đối với các dữ liệu cá nhân của người lao động, phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác. Do pháp luật hiện hành chưa quy định cụ thể về thời hạn lưu trữ dữ liệu cá nhân của người lao động, để bảo vệ quyền lợi hợp pháp của người sử dụng lao động (ví dụ: phục vụ giải quyết tranh chấp lao động, thanh tra, kiểm tra thuế và các nghĩa vụ pháp lý khác), doanh nghiệp nên thỏa thuận rõ với người lao động về loại dữ liệu được lưu trữ, mục đích lưu trữ và thời hạn lưu trữ ngay tại thời điểm chấm dứt hợp đồng lao động.

Tác giả:
Nguyễn Thị Cúc Vi: Luật sư Cộng sự Cao cấp, Dentons Luật Việt
Đoàn Hà Yến Nhi: Trợ lý Luật sư, Dentons Luật Việt

Đăng ở các mục: Thông tin Pháp luật
Tác giả

Dentons Luật Việt

Các bài viết

Đọc thêm

Great! You’ve successfully signed up.

Welcome back! You've successfully signed in.

You've successfully subscribed to Tập San Luật sư Nội bộ.

Your link has expired.

Success! Check your email for magic link to sign-in.

Success! Your billing info has been updated.

Your billing was not updated.