Những điểm mới trong Dự thảo Luật Bảo vệ Dữ liệu cá nhân (cập nhật ngày 06/4/2025) so với Nghị định 13/2023/NĐ-CP

Bản tin pháp luật

Những điểm mới trong Dự thảo Luật Bảo vệ Dữ liệu cá nhân (cập nhật ngày 06/4/2025) so với Nghị định 13/2023/NĐ-CP

LexNovum Lawyers

LexNovum Lawyers

02/06/2025

Nhằm hoàn thiện khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân (“DLCN”), thúc đẩy việc khai thác, sử dụng DLCN một cách hợp pháp và hiệu quả phục vụ phát triển kinh tế – xã hội, Quốc hội đang trong quá trình tích cực xây dựng và hoàn thiện Luật Bảo vệ DLCN.

Ngày 05/5/2025, Dự thảo Luật Bảo vệ DLCN (cập nhật ngày 06/4/2025) (“Dự thảo”) đã được trình Quốc hội xem xét tại Kỳ họp thứ 9, Quốc hội khóa XV.

Trong bài viết này, LNV sẽ bình luận một số nội dung điều chỉnh đáng chú ý trong Dự thảo so với quy định hiện hành tại Nghị định 13/2023/NĐ-CP (“Nghị định 13”), đồng thời, đưa ra một số lưu ý dành cho doanh nghiệp, cụ thể như sau:

1. Điều chỉnh hướng quy định danh mục DLCN cơ bản và DLCN nhạy cảm

Theo Dự thảo lần 3, ban soạn thảo đã điều chỉnh định hướng quy định đối với danh mục phân loại DLCN từ quy định chi tiết tại luật sang hướng giao về cho Nghị định/Thông tư hướng dẫn chi tiết.

Tại phần giải thích từ ngữ, Dự thảo đã loại bỏ phần định nghĩa về “DLCN cơ bản” và “DLCN nhạy cảm” như được quy định tại Điều 2.3 và Điều 2.4 Nghị định 13. Thay vào đó, Điều 12 Dự thảo quy định:

“3. Cơ quan, tổ chức, cá nhân thu thập DLCN phải phân loại DLCN thành DLCN cơ bản, DLCN nhạy cảm dựa trên yêu cầu quản trị, xử lý, bảo vệ dữ liệu.

Chính phủ quy định chi tiết danh mục DLCN cơ bản, DLCN nhạy cảm.”

Như vậy, việc xác định và áp dụng danh mục dữ liệu cụ thể sẽ phụ thuộc vào hướng dẫn của Chính phủ trong thời gian tới.

2. Mở rộng trường hợp xử lý DLCN không cần sự đồng ý của chủ thể dữ liệu

Theo Điều 17.5 Nghị định 13, việc xử lý DLCN không cần sự đồng ý của chủ thể dữ liệu khi “phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.”

Để làm rõ chi tiết trên, Điều 19.5 Dự thảo đã có quy định như sau:

“Phục vụ hoạt động của cơ quan nhà nước, hoạt động phục vụ quản lý nhà nước, hoạt động của các đơn vị sự nghiệp công lập theo quy định của pháp luật, phục vụ thí điểm một số cơ chế, chính sách đặc biệt tạo đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đã được quy định theo luật, nghị quyết của Quốc hội.”

Quy định trên đã mở rộng các trường hợp cơ quan nhà nước được phép xử lý DLCN mà không cần thu thập sự đồng ý từ chủ thể dữ liệu.   

Doanh nghiệp vui lòng lưu ý rằng, việc xử lý DLCN để thực hiện các thủ tục hành chính với cơ quan nhà nước phục vụ nhu cầu, hoạt động kinh doanh của doanh nghiệp (ví dụ: đăng ký điều chỉnh Giấy chứng nhận đăng ký doanh nghiệp, đăng ký sổ bảo hiểm xã hội cho người lao động…) không thuộc các trường hợp được miễn trừ nêu tại Điều 19.5 Dự thảo. Đồng nghĩa, doanh nghiệp vẫn có trách nhiệm thu thập sự đồng ý của chủ thể dữ liệu trước khi thực hiện việc xử lý dữ liệu trong các trường hợp nêu trên.  

3. Điều chỉnh thời gian thông báo vi phạm quy định về bảo vệ DLCN

Điều 37.1 Dự thảo quy định:

Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ DLCN, Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên thứ ba, Bên Chuyển DLCN ra nước ngoài, Bên nhận DLCN của công dân Việt Nam ở nước ngoài thông báo cho Cơ quan chuyên trách bảo vệ DLCN chậm nhất 72 giờ kể từ khi phát hiện xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do trì hoãn.

So với quy định trước đây tại Điều 23.1 Nghị định 13, mốc thời gian thông báo được điều chỉnh từ “72 giờ kể từ khi xảy ra hành vi vi phạm” sang “72 giờ kể từ khi phát hiện hành vi vi phạm”.

Qua đánh giá, LNV nhận thấy rằng, việc điều chỉnh mốc thời gian thông báo tính từ thời điểm “phát hiện” thay vì “xảy ra” hành vi vi phạm là một điểm tiến bộ, phản ánh sự cân nhắc của nhà làm luật về tính khả thi của quy định và tạo điều kiện thuận lợi cho doanh nghiệp khi thực hiện trách nhiệm trong thực tiễn.

4. Loại bỏ một số trách nhiệm của doanh nghiệp liên quan đến việc chuyển DLCN ra nước ngoài

Qua đối chiếu, LNV nhận thấy Điều 46 Dự thảo đã loại bỏ một số trách nhiệm của bên chuyển dữ liệu được quy định tại Điều 25 Nghị định 13 – Chuyển dữ liệu cá nhân ra nước ngoài. Các nội dung bị loại bỏ là:

“5. Bên chuyển DLCN có văn bản thông báo gửi Cơ quan chuyên trách bảo vệ DLCN thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách sau khi việc chuyển dữ liệu diễn ra thành công.

….

7. Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cơ quan chuyên trách bảo vệ DLCN.”

Như vậy, 02 trách nhiệm của Doanh nghiệp đã được điều chỉnh gồm:

Thứ nhất, loại bỏ nghĩa vụ “thông báo bằng văn bản cho cơ quan có thẩm quyền sau khi chuyển dữ liệu (ra nước ngoài) thành công” (hiện được quy định tại khoản 5 Điều 25 Nghị định 13);

Thứ hai, điều chỉnh nghĩa vụ cập nhật Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài từ “ngay khi có sự thay đổi về nội dung hồ sơ đã gửi cho cơ quan có thẩm quyền” (hiện được quy định tại khoản 5 Điều 25 Nghị định 13) thành “cập nhật hồ sơ định kỳ 6 tháng/lần khi có sự thay đổi” (theo Điều 47.1 Dự thảo).

5. Quy định về “Chuyên gia bảo vệ DLCN” và “Tổ chức bảo vệ DLCN” vẫn còn nhiều điểm phải “chờ đợi”

5.1. Về chuyên gia bảo vệ DLCN

Theo Điều 39.2 Dự thảo, mỗi doanh nghiệp phải chỉ định ít nhất 01 Chuyên gia bảo vệ DLCN phù hợp với ngành, nghề và lĩnh vực kinh doanh. Song, theo Điều 68.3 Dự thảo, trong vòng 01 năm kể từ ngày Luật Bảo vệ DLCN chính thức có hiệu lực, doanh nghiệp được miễn trách nhiệm chỉ định Chuyên gia bảo vệ DLCN.

5.2. Về Tổ chức bảo vệ DLCN

Theo quy định tại Điều 49.3 và Điều 68.3 Dự thảo, nhằm bảo vệ DLCN cơ bản, doanh nghiệp có trách nhiệm chỉ định Tổ chức bảo vệ DLCN ngay từ thời điểm Luật Bảo vệ DLCN có hiệu lực.

Trong cả 02 đối tượng trên, điểm chung nổi bật là để được xem là Chuyên gia bảo vệ DLCN/Tổ chức bảo vệ DLCN thì các cá nhân, tổ chức này đều phải được cấp chứng nhận đủ điều kiện năng lực bảo vệ DLCN bởi một tổ chức có thẩm quyền theo quy định pháp luật (“Tổ chức cấp chứng nhận”) (theo Điều 41.2 và Điều 41.3 Dự thảo). Song, hiện nay, “Tổ chức cấp chứng nhận” kể trên vẫn chưa được phân công hoặc quy định rõ ràng.

Do đó, trong thời gian tới, với sự tham vấn của nhiều cơ quan, cá nhân có chuyên môn, LNV hi vọng rằng những nội dung còn đang bỏ ngỏ kia sẽ sớm được làm rõ để các cá nhân, tổ chức liên quan đến hoạt động xử lý DLCN sớm nắm bắt và chuẩn bị tuân thủ.

LNV sẽ tiếp tục theo dõi và cập nhật đến Quý Khách hàng khi có pháp luật về bảo vệ DLCN có sự điều chỉnh hoặc hướng dẫn chi tiết liên quan đến các nội dung nêu trên.

Trên đây là bài viết về Những điểm mới trong Dự thảo Luật Bảo vệ Dữ liệu Cá nhân (cập nhật ngày 06/4/2025) so với Nghị định 13/2023/NĐ-CP. LNV hi vọng rằng bài viết trên sẽ mang lại những thông tin hữu ích cho Quý Khách hàng. Trường hợp cần được tư vấn chi tiết và chuyên sâu hơn, Quý Khách hàng vui lòng liên hệ trực tiếp với LNV.

 

Người thực hiện: Phan Nhi, Ngọc Mai

Lưu ý:

Bài viết này được thực hiện dựa trên quy định của Dự thảo Luật Bảo vệ DLCN (cập nhật ngày 06/4/2025). Quý khách vui lòng lưu ý, Dự thảo Luật Bảo vệ DLCN chưa chính thức có hiệu lực.

Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý khách vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

 

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage