1. Tầm quan trọng của dữ liệu cá nhân
Dữ liệu cá nhân, bao gồm tên, số điện thoại, địa chỉ, thông tin tài khoản ngân hàng và thói quen tiêu dùng, đã trở thành một loại tài sản vô hình có giá trị kinh tế khổng lồ. Tuy nhiên, việc thu thập và sử dụng dữ liệu không được kiểm soát chặt chẽ đã dẫn đến nhiều hệ lụy nghiêm trọng. Từ các cuộc gọi làm phiền, tin nhắn quảng cáo rác cho đến các vụ lừa đảo, tấn công mạng, hậu quả cuối cùng đều do người dùng gánh chịu. Điều này đặt ra yêu cầu cấp bách về một khuôn khổ pháp lý vững chắc để bảo vệ quyền riêng tư của cá nhân.
2. Phân tích các quy định pháp luật về bảo vệ dữ liệu cá nhân
Hệ thống pháp luật Việt Nam đã có những bước tiến quan trọng trong việc hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân. Hai văn bản pháp lý quan trọng nhất mà doanh nghiệp cần nắm vững là Nghị định số 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15:
2.1. Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân
Nghị định này có hiệu lực từ ngày 01/07/2023, quy định chi tiết các nguyên tắc, nghĩa vụ, quyền và trách nhiệm của các chủ thể liên quan trong hoạt động xử lý dữ liệu cá nhân. Nghị định 13 đã định nghĩa rõ ràng các khái niệm như “dữ liệu cá nhân”, “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “chủ thể dữ liệu”, “bên kiểm soát dữ liệu”, “bên xử lý dữ liệu”,… và thiết lập các quy trình xử lý, bảo vệ dữ liệu, bao gồm cả việc đánh giá tác động xử lý dữ liệu và chuyển dữ liệu ra nước ngoài.
– Các nguyên tắc bảo vệ dữ liệu cá nhân được quy định tại Điều 3 Nghị định 13 bao gồm: xử lý dữ liệu theo pháp luật, minh bạch; thu thập và xử lý đúng mục đích; bảo mật và bảo vệ dữ liệu; giới hạn thời gian lưu trữ; đảm bảo quyền của chủ thể dữ liệu.
– Nghĩa vụ của doanh nghiệp (Bên Kiểm soát dữ liệu cá nhân) được quy định tại Điều 38 Nghị định 13: bao gồm thực hiện các biện pháp tổ chức và kỹ thuật để bảo vệ dữ liệu, ghi lại nhật ký xử lý, thông báo vi phạm, đảm bảo quyền của chủ thể dữ liệu và chịu trách nhiệm về các thiệt hại.
– Yêu cầu về sự đồng ý của chủ thể dữ liệu Điều 11 Nghị định 13: Sự đồng ý phải rõ ràng, tự nguyện, biết rõ mục đích, loại dữ liệu, tổ chức xử lý, quyền và nghĩa vụ. Sự im lặng hoặc không phản hồi không được coi là đồng ý.
2.2. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
Luật này được Quốc hội thông qua ngày 26 tháng 6 năm 2025 và có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 thay thế Nghị định 13/2023/NĐ-CP, tiếp tục củng cố và nâng cao các quy định về bảo vệ dữ liệu cá nhân tại Việt Nam. Luật này làm rõ hơn các khái niệm, quyền và nghĩa vụ của chủ thể dữ liệu, các bên liên quan, cũng như các biện pháp bảo vệ và xử lý vi phạm.
– Phạm vi điều chỉnh tại Điều 1 Luật 91/2025/QH15: Luật áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam.
– Các nguyên tắc bảo vệ dữ liệu cá nhân tại Điều 3 Luật 91/2025/QH15: nhấn mạnh sự tuân thủ pháp luật, xử lý đúng mục đích, tính chính xác, bảo đảm đồng bộ các biện pháp bảo vệ, chủ động phòng ngừa và bảo vệ dữ liệu gắn với lợi ích quốc gia.
– Quyền của chủ thể dữ liệu tại Điều 4 Luật 91/2025/QH15: bao gồm quyền được biết, đồng ý, truy cập, rút lại sự đồng ý, xóa, hạn chế xử lý, phản đối, khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại và tự bảo vệ.
– Quy định về chuyển dữ liệu cá nhân xuyên biên giới tại Điều 20 Luật 91/2025/QH15: Luật yêu cầu lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
3. Trách nhiệm của doanh nghiệp trong việc Bảo vệ dữ liệu cá nhân
Để phù hợp với Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ đầu năm tới, doanh nghiệp cần chủ động rà soát và cập nhật các quy định nội bộ. Dưới đây là một số thay đổi nổi bật mà doanh nghiệp cần đặc biệt lưu ý:
3.1. Xây dựng quy chế xử lý dữ liệu không cần sự đồng ý
Theo Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể trong một số trường hợp cụ thể như:
- Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể hoặc người khác trong trường hợp cấp bách.
- Để giải quyết tình trạng khẩn cấp hoặc nguy cơ đe dọa an ninh quốc gia.
- Phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
- Để thực hiện thỏa thuận với chủ thể dữ liệu. Khi xử lý dữ liệu trong các trường hợp này, doanh nghiệp phải thiết lập cơ chế giám sát chặt chẽ, bao gồm:
- Xây dựng quy trình, quy định xử lý dữ liệu rõ ràng.
- Triển khai các biện pháp bảo vệ phù hợp và thường xuyên đánh giá rủi ro.
- Kiểm tra, đánh giá định kỳ việc tuân thủ quy định pháp luật.
- Có cơ chế tiếp nhận và xử lý phản ánh, kiến nghị.
3.2. Rà soát và bổ sung thỏa thuận trong tuyển dụng và quản lý lao động
Theo Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp cần tuân thủ các quy định sau:
Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong tuyển dụng lao động được quy định như sau:
a) Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng của cơ quan, tổ chức, cá nhân tuyển dụng phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật;
b) Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển;
c) Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;
Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động được quy định như sau:
a) Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;
b) Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;
c) Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
Tóm lại, để tuân thủ quy định mới, doanh nghiệp cần chủ động bổ sung thỏa thuận về việc lưu giữ dữ liệu ứng viên không trúng tuyển vào hồ sơ hoặc hợp đồng. Đồng thời, việc này cũng cần được áp dụng đối với dữ liệu của người lao động khi hợp đồng chấm dứt nhằm đảm bảo tính minh bạch và tránh rủi ro pháp lý.
3.3. Các quy định chuyển tiếp quan trọng
– Về sự đồng ý: Theo Khoản 1 Điều 39 Luật Bảo vệ dữ liệu cá nhân 2025, các hoạt động xử lý dữ liệu đã được chủ thể đồng ý hoặc thỏa thuận theo Nghị định 13 trước ngày 01/01/2026 thì không cần phải xin đồng ý lại hoặc thỏa thuận lại.
– Về hồ sơ đánh giá tác động: Theo Khoản 2 Điều 39, nếu doanh nghiệp đã có hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc hồ sơ chuyển dữ liệu ra nước ngoài được cơ quan chuyên trách tiếp nhận trước ngày 01/01/2026 thì được tiếp tục sử dụng.
Việc cập nhật hồ sơ từ ngày 01/01/2026 phải thực hiện theo quy định của Luật mới.
4. Hậu quả pháp lý khi doanh nghiệp vi phạm
Việc vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể dẫn đến những hậu quả nghiêm trọng như:
– Xử phạt vi phạm hành chính: Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp có thể bị áp dụng các mức phạt tiền lên đến hàng tỷ đồng. Các biện pháp khắc phục hậu quả cũng có thể được áp dụng.
– Trách nhiệm bồi thường thiệt hại: Doanh nghiệp phải bồi thường cho chủ thể dữ liệu nếu hành vi vi phạm gây tổn hại.
– Trong những trường hợp vi phạm nghiêm trọng, có thể bị truy cứu trách nhiệm hình sự theo Bộ luật Hình sự (ví dụ: Điều 288 và Điều 290 Bộ luật Hình sự 2015, sửa đổi 2017).
– Việc rò rỉ dữ liệu sẽ làm suy giảm nghiêm trọng lòng tin của khách hàng. Ngoài ra, cơ quan nhà nước có thẩm quyền có thể yêu cầu ngừng xử lý dữ liệu hoặc ngừng chuyển dữ liệu ra nước ngoài.
5. Tổng đài tư vấn pháp luật
Nếu quý khách hàng còn có thắc mắc hay câu hỏi nào cần được tư vấn từ luật sư. Quý khách vui lòng liên hệ vào số Hotline 0978 333 379 để được luật sư tư vấn. Trân trọng cảm ơn!
