Quốc hội Việt Nam đã chính thức thông qua Luật Bảo vệ Dữ liệu Cá nhân (“Luật BVDLCN”)—khung pháp lý toàn diện đầu tiên về bảo vệ dữ liệu cá nhân tại Việt Nam. Đặc biệt, Luật quy định các chế tài xử phạt vi phạm hành chính nghiêm khắc với mức phạt lên đến 5% doanh thu cả năm hoặc gấp mười khoản thu có được từ hành vi vi phạm (“HVVP”).
Luật BVDLCN sẽ có hiệu lực từ 01/01/2026, theo đó các doanh nghiệp sẽ có một khoảng thời gian tương đối ngắn để triển khai các biện pháp cần thiết nhằm bảo đảm tuân thủ.
Bản tin Pháp lý này tóm lược một số thay đổi đáng chú ý trong Luật BVDLCN, các vấn đề còn để ngỏ cũng như một số nội dung mà doanh nghiệp cần chuẩn bị.
Một số Điểm Mới trong Luật BVDLCN
1. Cơ chế Xử phạt Nghiêm khắc. Luật BVDLCN xây dựng khung xử phạt hành chính theo từng nhóm HVVP trong lĩnh vực dữ liệu cá nhân (Điều 8), cụ thể:
Trường hợp cá nhân thực hiện cùng HVVP thì mức phạt tiền tối đa bằng một nửa mức áp dụng đối với tổ chức.
2. Chuyển Dữ liệu Cá nhân Xuyên Biên giới. Việc chuyển dữ liệu cá nhân tại Việt Nam xuyên biên giới hoặc xử lý dữ liệu đó trên các nền tảng đặt tại nước ngoài thuộc trường hợp phải thực hiện Đánh giá Tác động Chuyển dữ liệu cá nhân xuyên biên giới (“ĐTC DLCN”). ĐTC DLCN phải được gửi đến cơ quan chuyên trách về bảo vệ dữ liệu cá nhân trong thời hạn 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân và phải được cập nhật định kỳ mỗi sáu tháng đối với các thay đổi thông thường hoặc ngay lập tức trong các trường hợp cụ thể, chẳng hạn như khi phát sinh thay đổi trong hoạt động kinh doanh liên quan đến hoạt động xử lý dữ liệu cá nhân (Điều 20 và Điều 22). Đặc biệt, doanh nghiệp không bắt buộc phải lập ĐTC DLCN trong trường hợp lưu trữ dữ liệu cá nhân của người lao động trên dịch vụ điện toán đám mây (bên cạnh các trường hợp khác theo nghị định hướng dẫn được ban hành sau này).
3. Cấm Mua bán Dữ liệu Cá nhân. Về nguyên tắc, mọi hình thức mua bán dữ liệu cá nhân đều bị cấm. Tuy nhiên, đây không phải là quy định cấm tuyệt đối nếu dựa theo câu chữ của luật, vì có thể có ngoại lệ được quy định tại các luật khác (Điều 7). Luật cũng quy định thêm một số trường hợp chuyển giao dữ liệu cá nhân (có thu phí hoặc không thu phí) mà không bị coi là hành vi mua, bán dữ liệu cá nhân, chẳng hạn như chia sẻ nội bộ trong cùng một tổ chức hoặc chuyển giao trong trường hợp tái cơ cấu tổ chức (Điều 17).
4. Một số Yêu cầu Đặc thù theo Lĩnh vực và Hoạt động Cụ thể. Luật BVDLCN quy định thêm một số yêu cầu đặc thù đối với một số lĩnh vực và hoạt động cụ thể, đặc biệt là các lĩnh vực thường xuyên xử lý dữ liệu cá nhân nhạy cảm hoặc một lượng lớn dữ liệu cá nhân. Các lĩnh vực này bao gồm: lao động; tài chính; bảo hiểm; thông tin tín dụng; quảng cáo; mạng xã hội; dữ liệu của trẻ em và người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi; dữ liệu sinh trắc học và dữ liệu vị trí cá nhân; hoạt động ghi âm/ghi hình tại nơi công cộng; các công nghệ mới như trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, và điện toán đám mây. Chẳng hạn:
5. Nhân sự Bảo vệ Dữ liệu Cá nhân. Doanh nghiệp có trách nhiệm chỉ định cá nhân hoặc đơn vị phụ trách bảo vệ dữ liệu cá nhân (“Cán bộ Bảo vệ DLCN”), hoặc có thể thuê đơn vị cung cấp dịch vụ bên ngoài có đủ điều kiện năng lực bảo vệ dữ liệu cá nhân (Điều 33). Yêu cầu này nghiêm ngặt hơn so với Nghị định về bảo vệ dữ liệu cá nhân hiện hành, theo đó việc chỉ định Cán bộ Bảo vệ DLCN chỉ bắt buộc trong trường hợp xử lý dữ liệu cá nhân nhạy cảm.
Những Vấn đề còn Để ngỏ
Nhiều nội dung trong Luật BVDLCN vẫn cần được hướng dẫn thêm thông qua nghị định của Chính phủ trong thời gian tới. Các nội dung này bao gồm: thời hạn phản hồi yêu cầu của chủ thể dữ liệu (Điều 4), phương pháp tínhkhoản thu có được từ HVVP (Điều 8), hình thức thể hiện sự đồng ý hợp lệ (Điều 9), thành phần hồ sơ ĐTC DLCN và Đánh giá Tác động Xử lý Dữ liệu Cá nhân (Điều 20–22), nội dung thông báo vi phạm quy địnhvề bảo vệ dữ liệu cá nhân (Điều 23), tiêu chí Cán bộ Bảo vệ DLCN (Điều 33), cùng các nội dung khác.
Doanh nghiệp cần theo dõi sát sao các văn bản hướng dẫn sắp tới để bảo đảm thực hiện đúng và đầy đủ nghĩa vụ tuân thủ.
Doanh nghiệp Cần Làm gì
Các mức phạt tiền đáng kể đồng nghĩa với việc các doanh nghiệp phải hết sức cẩn trọng trong hoạt động bảo vệ dữ liệu cá nhân,đặc biệt là chuyển dữ liệu cá nhân xuyên biên giới. Bất kỳ vi phạm nào liên quan đến việc nộp và cập nhật kịp thời Hồ sơ ĐTCDLCN đều có thể dẫn đến các mức chế tài rất cao, thậm chí còn nghiêm khắc hơn cả mức phạt tiền cao nhất theo Bộ luật Hình sự.
Với việc Luật BVDLCN sắp có hiệu lực, các doanh nghiệp, đặc biệt là các công ty đa quốc gia, cần gấp rút tiến hành đánh giá lại hệ thống dữ liệu, lập bản đồ luồng dữ liệu cá nhân, và rà soát các mối quan hệ với bên thứ ba nhằm khắcphục các vấn đề tuân thủ
Các doanh nghiệp hoạt động trong lĩnhvực có mức độ rủi ro cao như công nghệ, tài chính, quảng cáo và nền tảng số cần đầu tư nhiều hơn vào hệ thống tuân thủ pháp luật, cơ chế kiểm soát nội bộ chặt chẽ, cũng như hạ tầng bảo mật dữ liệu nâng cao để đáp ứng các tiêu chuẩn nghiêm ngặt và hạn chế rủi ro bị áp dụng các chế tài xử phạt nghiêm khắc.
Cuối cùng, doanh nghiệp cũng cần chủ động tham vấn các đơn vị tư vấn pháp lý, đầu tư vào đào tạo nhân sự về nguyên tắc bảo vệ dữ liệu, đồng thời lồng ghép các yếu tố bảo mật ngay từ khâu thiết kế quy trình kinh doanh nhằm tăng cường trách nhiệm và sẵn sàng ứng phó với các yêu cầu kiểm tra từ cơ quan nhà nước.
Chính sách chống hối lộ và tham nhũng: LNT & Partners đã ban hành và duy trì chính sách tuân thủ tất cả các luật và quy định hiện hành về hối lộ và tham nhũng tại Việt Nam và trên toàn thế giới.
