LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025 -
NHỮNG QUY ĐỊNH MỚI DOANH NGHIỆP PHẢI TUÂN THỦ
Ngày 26/6/2025, tại kỳ họp thứ 9, Quốc hội Việt Nam khóa XV đã chính thúc thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (“Luật Bảo vệ dữ liệu cá nhân 2025”) – đạo luật chuyên ngành đầu tiên điều chỉnh toàn diện lĩnh vực bảo vệ dữ liệu cá nhân. Sự kiện này đánh dấu mốc pháp lý quan trọng và khẳng định sự chuyển mình mạnh mẽ của Việt Nam để bảo vệ quyền riêng tư của cá nhân trong nền kinh tế số đang phát triển nhanh chóng như hiện nay.
Luật Bảo vệ dữ liệu cá nhân 2025 sẽ chính thức có hiệu lực từ ngày 01/01/2026. Do đó, doanh nghiệp cần chủ động lưu ý một số nội dung mới quan trọng nhằm đảm bảo tính tuân thủ và phòng ngừa các rủi ro pháp lý có thể phát sinh trong quá trình hoạt động kinh doanh của mình, cụ thể:
1. Cấm tuyệt đối hành vi mua bán dữ liệu cá nhân:
Theo Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 quy định 07 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, cụ thể gồm:
(a) Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
(b) Cản trở hoạt động bảo vệ dữ liệu cá nhân.
(c) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
(d) Xử lý dữ liệu cá nhân trái quy định của pháp luật.
(e) Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
(f) Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
(g) Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
2. Chế tài nghiêm khắc đối với hành vi vi phạm quy định:
Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định các chế tài nghiêm khắc đối với các vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm :
(a) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm, trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tối đa là 03 tỷ đồng thì áp dụng mức phạt 03 tỷ đồng.
(b) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa là 03 tỷ đồng thì áp dụng mức phạt tiền là 03 tỷ đồng.
(c) Doanh nghiệp, cá nhân vi phạm có thể bị truy cứu trách nhiệm hình sự đối với các hành vi có tính chất và mức độ nghiêm trọng.
3. Doanh nghiệp phải xóa dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng:
Theo khoản 2 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp sau khi chấm dứt hợp đồng phải:
(a) Tuân thủ quy định của Luật Bảo vệ dữ liệu cá nhân 2025, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan.
(b) Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận.
(c) Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
4. Mạng xã hội không được yêu cầu cung cấp hình ảnh, video chứa nội dung về giấy tờ tùy thân làm yếu tố xác thực:
Theo Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm:
(a) Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
(b) Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.
(c) Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (cookies).
(d) Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.
(e) Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
(f) Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
Như vậy, từ ngày 01/1/2026, các nền tảng mạng xã hội sẽ không được phép sử dụng thông tin về căn cước công dân, chứng minh nhân dân hộ chiếu hoặc các loại giấy tờ tùy thân khác dưới dạng ảnh, video làm yếu tố xác thực tài khoản của người dùng.
5. Cơ chế “hậu kiểm” thay vì “tiền kiểm” khi chuyển dữ liệu xuyên biên giới:
Theo Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025, thay vì cơ chế xin phép trước, doanh nghiệp chuyển dữ liệu cá nhân xuyên biên giới phải lập hồ sơ đánh giá tác động và gửi 01 bản chính đến cơ quan chuyên trách trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới, trừ các trường hợp sau:
(a) Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền;
(b) Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây;
(c) Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới;
(d) Các trường hợp khác theo quy định của Chính phủ.
Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân sẽ quyết định việc kiểm tra chuyển dữ liệu cá nhân xuyên biên giới định kỳ không quá 01 lần trong năm hoặc kiểm tra đột xuất khi phát hiện hành vi vi phạm quy định của pháp luật hoặc khi xảy ra sự cố lộ, mất dữ liệu cá nhân.
6. Ưu đãi và miễn trừ nghĩa vụ đối với doanh nghiệp nhỏ và siêu nhỏ:
Theo Điều 38 Luật Bảo vệ dữ liệu cá nhân 2025 quy định các ưu đãi và miễn trừ đối với doanh nghiệp nhỏ và siêu nhỏ, như:
(a) Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các nghĩa vụ sau đây trong thời hạn 05 năm kể từ ngày luật có hiệu lực: (i) lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; (ii) cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới; và (iii) chỉ định nhân sự bảo vệ dữ liệu cá nhân.
(b) Hộ kinh doanh, doanh nghiệp siêu nhỏ được miễn thực hiện các nghĩa vụ đối với các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp ở trên.
7. Khuyến nghị của Pros Legal:
Trước những quy định quan trọng mới của Luật Bảo vệ dữ liệu cá nhân 2025, để tránh những rủi ro pháp lý không đáng có, doanh nghiệp nên chủ động thực hiện các công việc sau:
(a) Chủ động rà soát và đánh giá hiện trạng các hoạt động xử lý dữ liệu cá nhân tại doanh nghiệp;
(b) Chủ động xây dựng kế hoạch tuân thủ về bảo vệ dữ liệu cá nhân của người lao động, khách hàng, bên thứ ba có liên quan trong quá trình hoạt động kinh doanh;
(c) Xây dựng phương án quản trị toàn diện về hoạt động xử lý dữ liệu cá nhân;
(d) Thực hiện các thủ tục hành chính báo cáo và đánh giá tác động xử lý dữ liệu cá nhân; kịp thời cập nhật các điều chỉnh (đặc biệt đối với trường hợp chuyển dữ liệu xuyên biên giới) đến cơ quan chuyên trách về bảo vệ dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân 2025 có phạm vi điều chỉnh tương đối rộng, chế tài nghiêm khắc và nhiều nghĩa vụ pháp lý phải tuân thủ nên đặt ra những yêu cầu mới mang tính bắt buộc đối với doanh nghiệp. Do đó, việc nhận thức đầy đủ và triển khai kịp thời các biện pháp tuân thủ không chỉ giúp doanh nghiệp loại bỏ các rủi ro pháp lý, tổn thất tài chính tiềm tàng mà còn góp phần xây dựng niềm tin với khách hàng, đối tác và cơ quan quản lý trong quá trình hoạt động kinh doanh của mình.
ĐẶNG XUÂN ĐẠT – Luật sư Thành viên
HUỲNH THỊ HẬU – Trưởng phòng Cấp phép
