TÀI LIỆU GIỚI THIỆU LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN

Ngày 26/6/2025, tại kỳ họp thứ 9, Quốc hội khóa XV đã thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và có hiệu lực thi hành kể từ ngày 01/01/2026.

I. GIỚI THIỆU CHUNG VỀ LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN

Luật số 91/2025/QH15 thể chế hóa quan điểm chỉ đạo của Đảng về bảo vệ quyền con người, quyền công dân, quyền và lợi ích hợp pháp của cá nhân; tạo sự đồng bộ, thống nhất, xuyên suốt của hệ thống pháp luật, phục vụ cuộc cách mạng đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia theo tinh thần Nghị quyết 57-NQ/TW của Bộ Chính trị; góp phần bảo đảm an ninh con người, chủ quyền dữ liệu trong kỷ nguyên mới của dân tộc.

II. QUAN ĐIỂM, MỤC TIÊU CHÍNH SÁCH CỦA LUẬT

1. Quan điểm xây dựng Luật

Một là, cụ thể hóa tinh thần của Hiến pháp năm 2013, thể chế hóa chủ trương, chính sách của Đảng, Nhà nước về công nhận, tôn trọng, bảo vệ dữ liệu cá nhân, bảo đảm quyền con người, quyền cơ bản của công dân. Xác định dữ liệu cá nhân là nguồn tài nguyên quan trọng cần được bảo vệ, sử dụng phục vụ phát triển kinh tế, xã hội và bảo đảm quyền con người, quyền công dân, bảo vệ Tổ quốc.

Hai là, đáp ứng tốt yêu cầu phát triển kinh tế - xã hội, bảo đảm quốc phòng - an ninh; thúc đẩy ứng dụng, phát huy tối đa các thành tựu khoa học và công nghệ; xác định lộ trình phù hợp thực hiện công tác bảo vệ dữ liệu cá nhân phù hợp với thực tiễn nước ta hiện nay.

Ba là, phù hợp với các quy định của pháp luật, rà soát, tạo nền tảng để xây dựng một hệ thống pháp luật hoàn chỉnh, đồng bộ về bảo vệ dữ liệu cá nhân; hài hòa với pháp luật quốc tế, bảo đảm sự phù hợp với các quy định, cam kết quốc tế mà Việt Nam tham gia ký kết hoặc là thành viên.

2. Mục tiêu

Việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện, thống nhất hệ thống pháp luật về bảo vệ dữ liệu cá nhân, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.

III. BỐ CỤC VÀ NỘI DUNG CƠ BẢN CỦA LUẬT

1.   Bố cục của Luật

Luật số 91/2025/QH15 gồm 05 Chương, 39 Điều, quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan; trong đó:

- Chương I gồm 08 điều, quy định các vấn đề chung, như: phạm vi điều chỉnh, đối tượng áp dụng, nguyên tắc bảo vệ dữ liệu cá nhân, quyền và nghĩa vụ của chủ thể dữ liệu cá nhân, hành vi bị nghiêm cấm, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

- Chương II gồm 24 điều, quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu và bảo vệ dữ liệu cá nhân trong một số hoạt động, lĩnh vực cụ thể.

- Chương III gồm 03 điều, quy định về lực lượng bảo vệ dữ liệu cá nhân, điều bảo đảm bảo vệ dữ liệu cá nhân.

- Chương IV gồm 02 điều, quy định trách nhiệm của cơ quan, tổ chức, cá nhân về bảo vệ dữ liệu cá nhân.

- Chương V gồm 02 điều, quy định hiệu lực thi hành, điều khoản chuyển tiếp.

2. Về nội dung cơ bản của Luật

2.1. Những quy định chung

a) Phạm vi điều chỉnh, việc áp dụng pháp luật, đối tượng áp dụng

Phạm vi điều chỉnh của Luật theo Điều 1 là về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Có thể hiểu đây là luật gốc, thống nhất các quy định về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Do đó, Điều 5 đã quy định về việc áp dụng pháp luật về bảo vệ dữ liệu cá nhân, như sau:

- Hoạt động bảo vệ dữ liệu cá nhân trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan.

- Các luật, nghị quyết của Quốc hội ban hành trước ngày Luật này có hiệu lực thi hành được áp dụng quy định cụ thể về bảo vệ dữ liệu cá nhân trong luật, nghị quyết đó với điều kiện không trái với nguyên tắc bảo vệ dữ liệu cá nhân theo quy định của Luật này.

- Các luật, nghị quyết của Quốc hội ban hành sau ngày Luật này có hiệu lực thi hành có quy định về bảo vệ dữ liệu cá nhân khác với quy định của Luật này thì phải quy định cụ thể nội dung thực hiện hoặc không thực hiện theo quy định của Luật này, nội dung thực hiện theo quy định của luật, nghị quyết đó.

- Để tránh chồng chéo giữa Luật này và Luật Dữ liệu, cắt giảm tối đa thủ tục hành chính và chi phí tuân thủ cho doanh nghiệp, Luật này quy định trường hợp cơ quan, tổ chức, cá nhân thực hiện việc đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới thì không phải thực hiện đánh giá rủi ro xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của pháp luật về dữ liệu.

Luật này áp dụng đối với cả cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài, cụ thể:

(1) Cơ quan, tổ chức, cá nhân Việt Nam; (2) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; (3) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

b) Giải thích từ ngữ: Luật đã xây dựng và thống nhất một số khái niệm quan trọng trong lĩnh vực bảo vệ dữ liệu cá nhân, như: khái niệm dữ liệu cá nhân bao trùm cả môi trường truyền thống và môi trường số; bảo vệ dữ liệu cá nhân; xử lý dữ liệu cá nhân; khử nhận dạng dữ liệu cá nhân; làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm; chủ thể dữ liệu cá nhân và các bên liên quan trong quá trình xử lý dữ liệu cá nhân

c) Nguyên tắc bảo vệ dữ liệu cá nhân

Luật đưa ra 06 nguyên tắc bảo vệ dữ liệu cá nhân, trong đó có 03 nguyên tắc quan trọng trong quá trình xử lý dữ liệu cá nhân, đó là:

- Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.

- Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.

- Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.

Ngoài ra là các nguyên tắc tuân thủ; phòng, chống vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân; bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

d) Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Các quyền của chủ thể dữ liệu cá nhân được quy định kế thừa Nghị định số 13/2023/NĐ-CP để xác lập, công nhận các quyền của cá nhân đối với thông tin, dữ liệu của mình, phù hợp với thông lệ quốc tế và là nền tảng để thực hiện các cơ chế bảo vệ chủ thể dữ liệu cá nhân.  06 quyền của chủ thể dữ liệu cá nhân bao gồm: (1) Được biết về hoạt động xử lý dữ liệu cá nhân; (2) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; (3) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; (4) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân; (5) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật; (6) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

Bên cạnh quyền, Luật có quy định mới về nghĩa vụ của chủ thể dữ liệu cá nhân để đảm bảo tính cân bằng, tăng cường trách nhiệm của tất cả các bên liên quan đến dữ liệu cá nhân, trong đó có chủ thể dữ liệu các nhân, bao gồm:

a) Tự bảo vệ dữ liệu cá nhân của mình;

b) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;

c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;

d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.

đ) Hành vi bị nghiêm cấm và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân

Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai[1]. Hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức, như: (1) Doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho các đối tác khác; (2) Chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán; (3) Rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; (4) Lập doanh nghiệp vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; (5) Tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng.

Luật quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo hình thức xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật dựa trên tính chất, mức độ, hậu quả của hành vi vi phạm. Đối với hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, áp dụng:

- Đối với hành vi mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

- Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng.

- Đối với các hành vi vi phạm khác: Mức phạt tiền tối đa là 03 tỷ đồng với tổ chức. Mức phạt áp dụng với cá nhân bằng một phần hai mức phạt đối với tổ chức theo từng hành vi.

2.2. Bảo vệ dữ liệu cá nhân

Do thực trạng xâm phạm dữ liệu cá nhân tiếp tục gia tăng, đặc biệt trong các lĩnh vực có quy mô xử lý dữ liệu cá nhân lớn, tính chất nhạy cảm cao, như: tài chính, ngân hàng, thông tin tín dụng, bảo hiểm, quảng cáo, mạng xã hội, trí tuệ nhân tạo, chuỗi khối… Do đó, Luật đã thiết kế Chương II gồm 02 mục: Mục 1 quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu (từ Điều 9 đến Điều 23) và Mục 2 quy định bảo vệ dữ liệu cá nhân trong một số hoạt động, lĩnh vực cụ thể (từ Điều 24 đến Điều 32).

a)   Bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân

(i) Sự đồng ý của chủ thể dữ liệu cá nhân

Quyền đồng ý là một trong những quyền quan trọng nhất, thiết lập nguyên tắc căn bản nhất cho mọi hoạt động xử lý dữ liệu cá nhân. Luật quy định tại Điều 9 về: Khái niệm sự đồng ý của chủ thể dữ liệu cá nhân: là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác; Điều kiện để sự đồng ý có hiệu lực (hiệu lực được tính từ thời điểm đồng ý cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật): chủ thể dữ liệu cá nhân phải tự nguyện đồng ý và trước khi đồng ý phải được biết rõ: Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân; Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân; Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân; Phương thực thể hiện sự đồng ý: phải rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được; Nguyên tắc khi xin sự đồng ý của chủ thể dữ liệu: xin sự đồng ý với từng mục đích; không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận. Đặc biệt, nếu chủ thể dữ liệu cá nhân im lặng hoặc không phản hồi thì không được coi là đồng ý.

Luật quy định 04 trường hợp cụ thể và các trường hợp khác theo quy định của pháp luật.

Đặc biệt, để kiểm soát và bảo vệ chặt chẽ dữ liệu cá nhân trong các trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân, Luật quy định thêm trách nhiệm của các bên liên quan phải thiết lập: Cơ chế giám sát thông qua và cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan.

(ii) Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân

- Sau khi chủ thể dữ liệu cá nhân đồng ý cho phép xử lý, chủ thể dữ liệu cá nhân có quyền yêu cầu rút lại sự đồng ý đó bằng cách gửi văn bản (bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được) cho bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

- Khi có nghi ngờ phạm vi, mục đích xử lý dữ liệu cá nhân hoặc tính chính xác của dữ liệu cá nhân, chủ thể dữ liệu cá nhân có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình cũng thông qua việc gửi văn bản (bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được) cho bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

- Tuy nhiên, việc thực hiện yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân không áp dụng đối với hoạt động xử lý dữ liệu cá nhân trước thời điểm chủ thể dữ liệu cá nhân yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân.

(iii) Thu thập, phân tích, tổng hợp dữ liệu cá nhân

Hoạt động phân tích, tổng hợp dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu cá nhân trước khi thu thập, trừ trường hợp pháp luật có quy định khác. Hoạt động này có thể được thực hiện bởi Cơ quan Đảng, Nhà nước có thẩm quyền; cơ quan, tổ chức, cá nhân khác.

(iv) Chỉnh sửa dữ liệu cá nhân

Trường hợp cần chỉnh sửa dữ liệu cá nhân của mình, chủ thể dữ liệu cá nhân có thể tự chỉnh sửa theo thỏa thuận hoặc đề nghị bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình. Việc chỉnh sửa dữ liệu cá nhân phải bảo đảm tính chính xác. Trường hợp không thể chỉnh sửa dữ liệu cá nhân vì lý do chính đáng, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để cơ quan, tổ chức, cá nhân yêu cầu biết.

(v) Cung cấp dữ liệu cá nhân

- Chủ thể dữ liệu cá nhân cung cấp dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân theo quy định của pháp luật (như cung cấp phục vụ hoạt động quản lý nhà nước, thực hiện các dịch vụ công…) hoặc theo thỏa thuận với cơ quan, tổ chức, cá nhân đó.

- Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân cung cấp dữ liệu cá nhân trong các trường hợp sau đây: (1) Cung cấp cho chủ thể dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu cá nhân phù hợp quy định của pháp luật, thỏa thuận với chủ thể dữ liệu; (2) Cung cấp cho cơ quan, tổ chức, cá nhân khác khi được chủ thể dữ liệu cá nhân đồng ý, trừ trường hợp pháp luật có quy định khác.

- Không cung cấp dữ liệu cá nhân trong trường hợp việc cung cấp có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, tài sản của người khác.

(vi) Công khai dữ liệu cá nhân

- Điều kiện để công khai dữ liệu cá nhân: chỉ được công khai với mục đích cụ thể; phạm vi công khai, loại dữ liệu cá nhân được công khai phải phù hợp với mục đích công khai; không được xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.

- Các trường hợp được phép công khai dữ liệu cá nhân: (1) Khi có sự đồng ý của chủ thể dữ liệu cá nhân;  (2) Thực hiện theo quy định của pháp luật; (3) Trường hợp để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật; (4) Thực hiện nghĩa vụ theo hợp đồng.

- Chất lượng dữ liệu cá nhân công khai: phải bảo đảm phản ánh đúng dữ liệu cá nhân từ nguồn dữ liệu gốc và tạo thuận lợi cho cơ quan, tổ chức, cá nhân trong việc tiếp cận, khai thác, sử dụng.

- Hình thức công khai dữ liệu cá nhân, bao gồm: đăng tải dữ liệu trên trang thông tin điện tử, cổng thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.

- Trách nhiệm khi công khai dữ liệu cá nhân: Cơ quan, tổ chức, cá nhân công khai dữ liệu cá nhân phải kiểm soát và giám sát chặt chẽ việc công khai dữ liệu cá nhân để bảo đảm tuân thủ đúng mục đích, phạm vi và quy định của pháp luật; ngăn chặn việc truy cập, sử dụng, tiết lộ, sao chép, sửa đổi, xóa, hủy hoặc các hành vi xử lý trái phép khác đối với dữ liệu cá nhân đã công khai trong khả năng, điều kiện của mình.

(vii) Chuyển giao dữ liệu cá nhân

- Việc chuyển giao dữ liệu cá nhân được thực hiện trong 06 trường hợp: (1) Khi có sự đồng ý của chủ thể dữ liệu cá nhân; (2) Khi các bộ phận trong cùng một cơ quan, tổ chức chia sẻ dữ liệu cá nhân với nhau để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập; (3) Để tiếp tục xử lý dữ liệu cá nhân khi có sự thay đổi cơ cấu tổ chức như: trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác; (4) Chuyển giao giữa Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân với bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định;  (5) Theo yêu cầu của cơ quan nhà nước có thẩm quyền; (6) Trong các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân tại khoản 1 Điều 19.

- 06 trường hợp chuyển giao dữ liệu cá nhân nêu trên nếu có kèm theo việc thu phí thì không được xác định là mua, bán dữ liệu cá nhân.

(viii) Chuyển dữ liệu cá nhân xuyên biên giới

- 03 trường hợp chuyển dữ liệu cá nhân xuyên biên giới, bao gồm: (1) Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; (2) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài; (3) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

- Về hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm đối tượng lập hồ sơ, yêu cầu về việc lập hồ sơ và tần suất lập hồ sơ. Về thành phần hồ sơ, thủ tục, trình tự sẽ được Chính phủ quy định chi tiết.

- Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định: Kiểm tra chuyển dữ liệu cá nhân xuyên biên giới định kỳ không quá 01 lần trong năm hoặc kiểm tra đột xuất khi phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân hoặc khi xảy ra sự cố lộ, mất dữ liệu cá nhân; Yêu cầu ngừng chuyển dữ liệu cá nhân xuyên biên giới của cơ quan, tổ chức, cá nhân khi phát hiện dữ liệu cá nhân được chuyển để sử dụng vào hoạt động có thể gây tổn hại đến quốc phòng, an ninh quốc gia.

- Chính phủ quy định thành phần hồ sơ, điều kiện, trình tự, thủ tục đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

(ix) Đánh giá tác động xử lý dữ liệu cá nhân

Việc đánh giá tác động xử lý dữ liệu cá nhân, Luật cũng quy định chi tiết đối với đối tượng lập hồ sơ, yêu cầu về việc lập hồ sơ và tần suất lập hồ sơ. Về thành phần hồ sơ, thủ tục, trình tự sẽ được Chính phủ quy định chi tiết đánh giá tác động xử lý dữ liệu cá nhân.

(x) Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Theo quy định của Luật Bảo vệ dữ liệu cá nhân, đối tượng thực hiện thông báo: Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba, cơ quan, tổ chức, cá nhân. Bên cạnh đó, Luật cũng quy định về các trường hợp cần thông báo, nội dung thông báo vi phạm, trách nhiệm các bên khi phát hiện vi phạm và một số yêu cầu khi phát hiện vi phạm.

b)   Bảo vệ dữ liệu cá nhân trong một số hoạt động

Luật Bảo vệ dữ liệu cá nhân cũng cụ thể hóa một số trường hợp bảo vệ dữ liệu cá nhân, tại mục 2, Chương II, bao gồm:

(1) Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi

(2) Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động

(3) Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm

(4) Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng

(5) Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo

(6) Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến

(7) Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây.

(8) Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học

(9) Bảo vệ dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng.

2.3. Lực lượng, điều kiện bảo đảm bảo vệ dữ liệu cá nhân

a) Lực lượng bảo vệ dữ liệu cá nhân

- Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

- Chính phủ quy định về điều kiện, nhiệm vụ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; dịch vụ xử lý dữ liệu cá nhân.

b) Tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân

- Tiêu chuẩn về bảo vệ dữ liệu cá nhân gồm tiêu chuẩn đối với hệ thống thông tin, phần cứng, phần mềm, quản lý, vận hành, xử lý, bảo vệ dữ liệu cá nhân được công bố, thừa nhận áp dụng tại Việt Nam.

- Quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân gồm quy chuẩn kỹ thuật đối với hệ thống thông tin, phần cứng, phần mềm, quản lý, vận hành, xử lý, bảo vệ dữ liệu cá nhân được xây dựng, ban hành và áp dụng tại Việt Nam.

c) Kiểm tra hoạt động bảo vệ dữ liệu cá nhân

Chính phủ sẽ quy định chi tiết việc kiểm tra hoạt động bảo vệ dữ liệu cá nhân, trong đó việc kiểm tra được thực hiện khi có hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân và để thực hiện công tác quản lý nhà nước theo quy định của pháp luật.

2.4. Điều khoản thi hành và chuyển tiếp

a) Hiệu lực thi hành

- Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.

- Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân và chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật này có hiệu lực thi hành.

Đối tượng loại trừ: doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.

- Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định quy định về đánh giá tác động xử lý dữ liệu cá nhân và chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

Đối tượng loại trừ: hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân

b) Quy định chuyển tiếp

- Hoạt động xử lý dữ liệu cá nhân đang thực hiện mà đã được chủ thể dữ liệu cá nhân đồng ý hoặc theo thỏa thuận theo quy định của Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ trước ngày Luật này có hiệu lực thi hành thì tiếp tục thực hiện, không phải xin đồng ý lại hoặc thỏa thuận lại.

- Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định của Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ đã được cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiếp nhận trước ngày Luật này có hiệu lực thi hành thì tiếp tục được sử dụng và không phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Luật này; việc cập nhật các hồ sơ đã lập nêu trên sau ngày Luật này có hiệu lực thi hành thì thực hiện theo quy định của Luật này.

IV. CÁC ĐIỀU KIỆN ĐẢM BẢO THỰC HIỆN

Quy định của Luật không làm tăng tổ chức bộ máy và biên chế hưởng lương từ ngân sách nhà nước nên sau khi dự án Luật được thông qua, nguồn nhân lực bảo đảm thi hành là đội ngũ nhân lực đang thực hiện nhiệm vụ triển khai thi hành Luật hiện nay của các cơ quan, đơn vị.

Để triển khai thi hành Luật, Nhà nước cần đầu tư một khoản kinh phí cho việc tổ chức thực hiện; cụ thể là:

- Tuyên truyền, phổ biến nội dung của Luật, tổ chức các đợt tập huấn, tập huấn chuyên sâu cho những người làm công tác bảo vệ dữ liệu cá nhân.

- Chi phí đầu tư mua sắm trang thiết bị, phương tiện bảo vệ dữ liệu cá nhân; kiện toàn, củng cố, xây dựng lực lượng bảo vệ dữ liệu cá nhân.

- Ban hành, in ấn, cấp phát sổ sách, biểu mẫu, giấy tờ và các tài liệu phục vụ công tác bảo vệ dữ liệu cá nhân.

- Chi phí phục vụ việc theo dõi, tổng kết, đánh giá tình hình thực thi luật hàng năm.

V. TRIỂN KHAI THI HÀNH

Để tổ chức thi hành Luật hiệu quả, theo sự phân công của Chính phủ, Bộ Công an sẽ chủ trì, phối hợp với các bộ, ngành, địa phương xây dựng văn bản hướng dẫn thi hành; đồng thời, trong thời gian tới, trên cơ sở Kế hoạch triển khai thi hành Luật của Thủ tướng Chính phủ, Bộ Công an sẽ tổ chức phổ biến, hướng dẫn cho các bộ, ngành, địa phương, tổ chức, cá nhân về Luật Bảo vệ dữ liệu cá nhân. Từ đó, nhận thức xã hội về bảo vệ dữ liệu cá nhân, các quyền và nghĩa vụ của chủ thể dữ liệu, trách nhiệm của các bên liên quan trong hoạt động xử lý được nâng cao; góp phần bảo vệ quyền riêng tư, quyền con người, đấu tranh phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.