Tiếp theo bản tin pháp lý "Luật Bảo vệ dữ liệu cá nhân – Những điều doanh nghiệp cần chuẩn bị cho việc tuân thủ trong tương lai", trong đó trình bày những điểm chính của Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN), chúng tôi xin giới thiệu bản tin pháp lý về những điểm mới đáng chú ý của Dự thảo Nghị định quy định chi tiết một số điều của Luật BVDLCN (Dự thảo Nghị định). Dự thảo Nghị định hiện đang trong giai đoạn lấy ý kiến góp ý công khai và sẽ kết thúc lấy ý kiến vào ngày 26/9/2025, nhằm đảm bảo việc ban hành kịp thời trước khi Luật BVDLCN có hiệu lực vào ngày 1/1/2026.

Định nghĩa về dữ liệu cá nhân

Theo Dự thảo Nghị định, “dữ liệu cá nhân cơ bản” là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, và không thuộc danh mục dữ liệu cá nhân nhạy cảm. Định nghĩa này mang tính chất tổng quát hơn so với định nghĩa liệt kê danh mục chi tiết tại Nghị định 13/2023/NĐ-CP (Nghị định 13).

“Dữ liệu cá nhân nhạy cảm” được định nghĩa là dữ liệu cá nhân (i) gắn liền với quyền riêng tư của cá nhân; (ii) khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; và (iii) yêu cầu phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ.

Danh mục dữ liệu cá nhân nhạy cảm tại Dự thảo Nghị định bao gồm một số loại dữ liệu mới chưa được quy định tại Nghị định 13, như danh tính điện tử của cá nhân; tên đăng nhập và mật khẩu truy cập của tài khoản; thông tin thẻ ngân hàng; thông tin tài chính, tín dụng, bảo hiểm; dữ liệu về hoạt động và lịch sử hoạt động của thuê bao viễn thông; dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng, v.v.

Thời hạn xử lý yêu cầu của chủ thể dữ liệu cá nhân

Luật BVDLCN quy định rằng bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải “kịp thời” thực hiện yêu cầu của chủ thể dữ liệu cá nhân (đây là một sự thay đổi đáng chú ý so với thời hạn cố định 72 giờ trong Nghị định 13), và giao cho Chính phủ ban hành quy định hướng dẫn chi tiết. Dự thảo Nghị định đưa ra các hướng dẫn cần thiết bằng việc thiết lập các mốc thời gian xử lý rõ ràng, theo từng giai đoạn xử lý như sau:

Yêu cầu nghiêm ngặt hơn đối với việc thu thập sự đồng ý

Theo Dự thảo Nghị định, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân phải đảm bảo minh chứng rõ ràng, chính xác về phương thức, thời gian, nội dung và xác thực chủ thể dữ liệu cá nhân. Các phương thức thu thập sự đồng ý phù hợp bao gồm: (i) bằng văn bản; (ii) bằng giọng nói; (iii) qua tin nhắn điện thoại; (iv) qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý; và (v) các phương thức khác phù hợp có thể kiểm chứng, xác thực được.

Dự thảo Nghị định nghiêm cấm việc thiết lập mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng có thể gây hiểu lầm cho chủ thể dữ liệu cá nhân, và quy định rằng các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân.

Để bảo vệ quyền lợi của chủ thể dữ liệu cá nhân, thường là những đối tượng yếu thế trong mối quan hệ với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, Dự thảo Nghị định cũng quy định rằng: (i) trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân; và (ii) tổ chức hoặc cá nhân có thể được ủy quyền, thay mặt cho chủ thể dữ liệu (theo quy định của pháp luật dân sự) để thực hiện các thủ tục liên quan đến việc xử lý dữ liệu cá nhân của chủ thể dữ liệu, trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý.

Chuyển giao dữ liệu cá nhân

Theo Dự thảo Nghị định, việc chuyển giao dữ liệu cá nhân phải tuân thủ các nguyên tắc nghiêm ngặt. Cụ thể:

a. Việc chuyển giao dữ liệu cá nhân trong các trường hợp sau phải xác lập thỏa thuận bằng văn bản: (i) khi có sự đồng ý của chủ thể dữ liệu cá nhân; (ii) tái cơ cấu doanh nghiệp; và (iii) bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định. Thỏa thuận này phải nêu rõ mục đích, đối tượng chủ thể dữ liệu cá nhân, loại dữ liệu cá nhân được chuyển giao, thời hạn xử lý, cơ sở pháp lý của việc chuyển giao dữ liệu cá nhân, và trách nhiệm bảo vệ dữ liệu cá nhân và thực hiện các quyền của chủ thể dữ liệu cá nhân.

b. Trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, cơ quan, tổ chức phải xây dựng chính sách, quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.

c. Việc chuyển giao dữ liệu cá nhân nhạy cảm phải có các biện pháp bảo mật (ví dụ: biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh hóa, v.v.).

d. Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu.

Điều kiện của nhân sự/bộ phận bảo vệ dữ liệu cá nhân và cá nhân/tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân

Các điểm chính khác liên quan đến nhân sự/bộ phận bảo vệ dữ liệu cá nhân và cá nhân/tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân được quy định tại Dự thảo Nghị định như sau:

a. Cơ quan, tổ chức có thể thành lập bộ phận bảo vệ dữ liệu cá nhân (không bắt buộc), các nhân sự trong bộ phận phải đáp ứng đủ các điều kiện năng lực như được liệt kê ở trên. Việc chỉ định nhân sự/bộ phận bảo vệ dữ liệu cá nhân phải được thực hiện bằng văn bản, trong đó thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân. Cơ quan, tổ chức phải ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân, thỏa thuận có thể quy định điều khoản về miễn trừ trách nhiệm.

b. Cơ quan, tổ chức có thể thuê cá nhân hoặc tổ chức đủ điều kiện để cung cấp dịch vụ bảo vệ dữ liệu cá nhân, và phải công khai thông tin về cá nhân hoặc tổ chức đó cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.

c. Tổ chức đủ điều kiện cung cấp dịch vụ bảo vệ dữ liệu cá nhân là tổ chức (i) có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý, (ii) có tối thiểu 03 nhân sự đáp ứng đủ các điều kiện năng lực để cung cấp dịch vụ bảo vệ dữ liệu cá nhân, và (iii) đã cung cấp các sản phẩm, dịch vụ liên quan đến bảo mật, an ninh mạng, công nghệ thông tin, đánh giá tiêu chuẩn, tư vấn về bảo vệ dữ liệu cá nhân. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải xây dựng và cung cấp hồ sơ năng lực cho khách hàng, thể hiện ngành nghề, lĩnh vực kinh doanh; quy mô, phạm vi, kinh nghiệm cung cấp dịch vụ; chính sách cung cấp dịch vụ; tiêu chuẩn, trình độ, năng lực nhân sự; và các văn bản, giấy tờ minh chứng có liên quan.

Đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và đánh giá tác động xử lý dữ liệu cá nhân

So với Luật BVDLCN, Dự thảo Nghị định bổ sung một số trường hợp không phải thực hiện đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, như hoạt động báo chí, truyền thông; hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới; việc chuyển dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực; v.v. Dự thảo Nghị định cũng quy định rằng cơ quan có thẩm quyền có thể tiến hành kiểm tra việc chuyển dữ liệu cá nhân xuyên biên giới không quá 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

Bên cạnh việc quy định các trường hợp thay đổi trọng yếu cần cập nhật hồ sơ đánh giá tác động ngay trong vòng 60 ngày như quy định tại Luật BVDLCN, Dự thảo Nghị định cũng làm rõ các trường hợp cần cập nhật hồ sơ đánh giá tác động định kỳ 06 tháng, bao gồm: (i) khi phát sinh mục đích chuyển dữ liệu cá nhân mới, mục đích xử lý dữ liệu cá nhân mới; và (ii) khi phát sinh hoặc thay đổi bên kiểm soát, bên kiểm soát và xử lý, bên xử lý, bên thứ ba.

Không áp dụng miễn trừ đối với các doanh nghiệp vừa và nhỏ

Luật BVDLCN quy định các trường hợp không áp dụng miễn trừ chung đối với các doanh nghiệp vừa và nhỏ, nhưng không quy định ngưỡng xác định cụ thể. Theo đó, Dự thảo Nghị định đã quy định ngưỡng định lượng cụ thể là: (i) xử lý dữ liệu cá nhân của 100.000 chủ thể dữ liệu trở lên, đối với doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp; và (ii) xử lý dữ liệu cá nhân của 500.000 chủ thể dữ liệu trở lên, đối với doanh nghiệp siêu nhỏ và hộ kinh doanh.

Dịch vụ xử lý dữ liệu cá nhân

Nhằm đáp ứng nhu cầu ngày càng tăng liên quan đến việc đảm bảo các hoạt động xử lý dữ liệu cá nhân được quy định rõ ràng và chuẩn hóa, Dự thảo Nghị định đưa ra các quy định mới liên quan đến dịch vụ xử lý dữ liệu cá nhân là ngành, nghề kinh doanh có điều kiện, với các loại hình dịch vụ cụ thể như sau:

a. Dịch vụ cung cấp và vận hành hệ thống, phần mềm tự động để thay mặt bên kiểm soát, bên kiểm soát và xử lý tiến hành xử lý dữ liệu cá nhân;

b. Dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm của chủ thể dữ liệu cá nhân;

c. Dịch vụ thu thập, xử lý dữ liệu cá nhân trực tuyến từ trang web, ứng dụng và mạng xã hội;

d. Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm và mạng xã hội để khảo sát, nghiên cứu thị trường;

e. Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm chăm sóc sức khỏe, theo dõi sức khỏe, dịch vụ y tế;

f. Dịch vụ thu thập, xử lý dữ liệu cá nhân qua ứng dụng, phần mềm giáo dục có yếu tố giám sát như điểm danh, ghi hình, chấm điểm hành vi, nhận diện cảm xúc;

g. Dịch vụ phân tích và khai thác dữ liệu cá nhân, gồm: sử dụng các công cụ phân tích để tìm kiếm thông tin, xu hướng và mẫu từ dữ liệu cá nhân; áp dụng các phương pháp khai thác dữ liệu để trích xuất giá trị từ dữ liệu cá nhân, dự đoán hành vi người dùng hoặc tối ưu hóa dịch vụ;

h. Dịch vụ mã hóa dữ liệu cá nhân trong quá trình truyền tải và lưu trữ;

i. Dịch vụ xử lý dữ liệu cá nhân tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo; và

j. Dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân.

Theo Dự thảo Nghị định, các tổ chức cung cấp các dịch vụ này phải được cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân bởi cơ quan chuyên trách bảo vệ dữ liệu cá nhân, thời hạn của Giấy chứng nhận được đề xuất là 5 năm.