Một số điểm mới của Dự thảo Luật Bảo vệ dữ liệu cá nhân so với Nghị định 13/2023/NĐ-CP & Lưu ý dành cho doanh nghiệp

Bản tin pháp luật

Một số điểm mới của Dự thảo Luật Bảo vệ dữ liệu cá nhân so với Nghị định 13/2023/NĐ-CP & Lưu ý dành cho doanh nghiệp

LexNovum Lawyers

LexNovum Lawyers

14/04/2025

Trong bối cảnh phát triển mạnh mẽ của công nghệ số, việc bảo vệ dữ liệu cá nhân (“DLCN”) ngày càng trở nên cấp thiết. Nghị định 13/2023/NĐ-CP (“Nghị định 13”) đã đặt nền móng ban đầu cho khung pháp lý về bảo vệ DLCN tại Việt Nam. Tuy nhiên, để tăng cường hiệu quả bảo vệ và phù hợp với xu hướng quốc tế, Dự thảo Luật Bảo vệ dữ liệu cá nhân đã được đề xuất với nhiều điểm mới đáng chú ý. Ngày 10/3/2025, Dự thảo Luật Bảo vệ Dữ liệu cá nhân (“Dự thảo”) đã tiếp tục được cập nhật và dự kiến sẽ được trình Quốc hội xem xét thông qua tại Kỳ họp thứ 9, Quốc hội khóa XV (tháng 5 năm 2025).

Bài viết này phân tích những thay đổi quan trọng của Dự thảo so với Nghị định 13 và những lưu ý thiết thực dành cho các doanh nghiệp.

1. Bổ sung thêm thông tin vào danh mục Dữ liệu cá nhân nhạy cảm

So với các Danh mục DLCN nhạy cảm được đề cập tại Điều 2.4 Nghị định 13, tại Điều 2.4 Dự thảo đã bổ sung thêm các thông tin mới được xem là DLCN nhạy cảm tại các điểm (i), (k), cụ thể như sau:

4. Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm:

i) Thông tin về tiền lương, phụ cấp, các nguồn thu nhập khác của cá nhân;

k) Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất;

Việc bổ sung các thông tin này vào DLCN nhạy cảm sẽ làm phát sinh nhiều trách nhiệm hơn cho phía doanh nghiệp, so với việc chỉ xử lý DLCN cơ bản, cụ thể như: Thông báo cho chủ thể dữ liệu rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm (Điều 10.9 Dự thảo); tiến hành phân loại dựa trên yêu cầu quản trị, xử lý, bảo vệ dữ liệu (Điều 12.3 Dự thảo); mã hóa khi lưu trữ, truyền, nhận, chia sẻ trên không gian mạng (Điều 15.3 Dự thảo) và áp dụng Biện pháp bảo vệ dữ liệu cá nhân nhạy cảm (Điều 50 Dự thảo).

Do đó, khi doanh nghiệp sử dụng người lao động (tức có hoạt động xử lý liên quan đến tiền lương, thu nhập của người lao động) hay thu thập dữ liệu về đất đai của cá nhân, doanh nghiệp phải tuân thủ các quy định đối với việc xử lý DLCN nhạy cảm.

2. Tăng cường việc xử lý vi phạm quy định bảo vệ DLCN

Tại Nghị định 13, việc xử lý vi phạm quy định bảo vệ DLCN chỉ là quy định chung và chưa có mức xử phạt vi phạm hành chính cụ thể. Điều 4 của Nghị định 13 quy định: “Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định”.

Tuy nhiên, tại Dự thảo, quy định về chế tài xử phạt đã rõ ràng và mạnh mẽ hơn. Cụ thể Điều 4 của Dự thảo nêu rõ:

1. Cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo mức độ chịu trách nhiệm dân sự, bị xử lý kỷ luật, xử lý vi phạm hành chính, xử lý hình sự theo quy định của pháp luật;

2. Áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân. Chính phủ quy định chi tiết quy định cụ thể về mức phạt, khung tiền phạt đối với từng hành vi vi phạm hành chính”.

So với quy định tại Nghị định 13, nội dung Dự thảo đã bổ sung thêm trách nhiệm dân sự khi xảy ra hành vi vi phạm quy định về bảo vệ DLCN.

Đồng thời, Ban Soạn thảo cũng đề xuất mức xử phạt hành chính từ 1% đến 5% doanh thu (không phải lợi nhuận) năm liền trước của tổ chức, doanh nghiệp có vi phạm. Đây là một điều đáng lưu ý.

Do đó, dù hoạt động kinh doanh của năm liền trước có bị thua lỗ, doanh nghiệp vi phạm vẫn phải có trách nhiệm nộp phạt nếu vi phạm quy định về bảo vệ DLCN. Ngoài ra, chi tiết các mức độ vi phạm và khung hình phạt sẽ được quy định chi tiết trong văn bản hướng dẫn của Chính phủ.

Để thực thi việc giám sát và xử phạt hiệu quả hơn, Dự thảo cũng bổ sung quy định về việc Kiểm tra công tác bảo vệ DLCN tại Điều 57.

Theo đó, Điều 57.1 quy định cơ quan có thẩm quyền sẽ “Kiểm tra công tác bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, định kỳ, đột xuất, trong trường hợp sau đây:

a) Khi có hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

b) Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.”.

Do đó, các doanh nghiệp cần lưu ý tuân thủ các quy định mới về xử phạt và kiểm tra của cơ quan chức năng để tránh trường hợp bị xử phạt.

3. Quy định thêm các trách nhiệm cho các doanh nghiệp hoạt động trong các lĩnh vực đặc thù

Dự thảo lần này đưa ra các quy định hoàn toàn mới ở các lĩnh vực đặc thù như: Điều 25 (Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể); Điều 26 (Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn); Điều 27 (Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo); Điều 28 (Bảo vệ dữ liệu cá nhân trong điện toán đám mây); Điều 29 (Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động); Điều 31 (Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm); Điều 33 (Dữ liệu vị trí)Điều 35 (Dữ liệu sinh trắc học).

Theo đó, bên cạnh những nguyên tắc chung về bảo vệ dữ liệu cá nhân áp dụng cho mọi doanh nghiệp, các tổ chức hoạt động trong các lĩnh vực đặc thù như tiếp thị, quảng cáo, hoặc có hoạt động liên quan đến trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo,… cần sớm nghiên cứu, trang bị kiến thức về pháp lý để tuân thủ và đáp ứng các yêu cầu về bảo vệ DLCN đặc thù đối với các lĩnh vực này.

Ví dụ: Đối với hoạt động của doanh nghiệp có liên quan đến xử lý dữ liệu vị trí, Dự thảo quy định các nền tảng ứng dụng di động cần có sự thông báo rõ ràng với khách hàng về việc sử dụng vị trí và cung cấp tùy chọn cho người dùng về các tùy chọn theo dõi vị trí. Do đó, doanh nghiệp cần lưu ý tuân thủ quy định về dữ liệu vị trí khi sử dụng các nền tảng ứng dụng di động có chức năng thu thập, sử dụng hoặc theo dõi vị trí của khách hàng.

Hoặc, đối với các doanh nghiệp có xử lý dữ liệu sinh trắc học, Dự thảo yêu cầu “Có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học; sử dụng các biện pháp mã hóa mạnh mẽ trong quá trình truyền tải và lưu trữ; hạn chế quyền truy cập vào dữ liệu sinh trắc học”. Đây là những đòi hỏi của Luật mà doanh nghiệp phải biết và có sự chuẩn bị sẵn sàng trước khi bước vào giai đoạn xử lý DLCN.

4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài phải được thường xuyên cập nhật

Tương tự như quy định tại Nghị định 13, Dự thảo vẫn duy trì 02 trách nhiệm cơ bản của Bên Kiểm soát, Bên xử lý dữ liệu cá nhân, là:

(i) Thực hiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; và

(ii) Thực hiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

Song, hiện nay, Nghị định 13 chỉ quy định về việc cập nhật, bổ sung mà không quy định về thời gian thực hiện.

Trong tương lai, Dự thảo đề xuất quy định rõ về trách nhiệm cập nhật định kỳ mỗi 06 tháng đối với 02 Hồ sơ này khi có bất kỳ sự thay đổi nào (Điều 47.1) và một số trường hợp thay đổi cần cập nhật ngay (Điều 47.2) như:

a) Khi công ty giải thể, sáp nhập;

b) Khi có sự thay đổi thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;

c) Khi phát sinh ngành nghề, dịch vụ kinh doanh mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan tới dữ liệu cá nhân đã đăng ký trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

Quy định này yêu cầu các doanh nghiệp cần phải có sự theo dõi và cập nhật liên tục đối với các Hồ sơ liên quan đến dữ liệu cá nhân, tránh rủi ro vi phạm.

Pháp luật về bảo vệ dữ liệu cá nhân là vấn đề có tính mới tại Việt Nam và có ảnh hưởng sâu rộng đến hoạt động kinh doanh của mọi doanh nghiệp, bất kể quy mô lớn hay nhỏ. Chúng tôi sẽ tiếp tục theo dõi đề tài này và cập nhật cho quý doanh nghiệp những điểm mới đáng chú ý trong các ấn phẩm tiếp theo. Nếu có thắc mắc hoặc yêu cầu nào về đề tài này, vui lòng liên lạc với LexNovum Lawyers để được hỗ trợ.

Người thực hiện: Corporation Team – LNV

Lưu ý: So sánh được thực hiện căn cứ theo Dự thảo Luật Bảo vệ dữ liệu cá nhân, cập nhật ngày 10/3/2025. 

Các thông tin cập nhật trong tài liệu được trích dẫn từ Dự thảo và chưa phải là văn bản có hiệu lực pháp luật. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý khách vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage