Bộ Công An hiện đang soạn thảo Luật Bảo vệ Dữ liệu Cá nhân và đang trong quá trình thu thập ý kiến.
Dự thảo Luật này mang nhiều thay đổi đáng chú ý và dự kiến sẽ toàn diện hơn so với Nghị định Bảo vệ Dữ liệu Cá nhân hiện hành. Các thay đổi chính bao gồm mở rộng phạm vi áp dụng, yêu cầu bắt buộc đánh giá độ tin cậy về bảo vệ dữ liệu, điều kiện nghiêm ngặt hơn trong thu thập sự đồng ý, yêu cầu bổ sung đối với đánh giá tác động xử lý dữ liệu, quy định rõ ràng hơn về chuyển dữ liệu cá nhân ra nước ngoài, cập nhật bắt buộc với hồ sơ nộp cho cơ quan quản lý và hợp đồng với đối tượng dữ liệu. Dự thảo Luật cũng đề xuất các yêu cầu đặc biệt đối với việc xử lý dữ liệu nhạy cảm như thông tin tín dụng, dữ liệu vị trí, dữ liệu sinh trắc học và dữ liệu nhân viên được sử dụng để giám sát.
Một trong những điểm đáng chú ý của Dự thảo Luật này là tập trung vào việc điều chỉnh các hoạt động xử lý dữ liệu theo từng lĩnh vực cụ thể như quảng cáo theo hành vi hoặc có mục tiêu cụ thể, Dữ liệu lớn, trí tuệ nhân tạo, điện toán đám mây, ngân hàng và tài chính, mạng xã hội và dịch vụ OTT, tiếp thị và y tế.
Luật dự kiến sẽ được ban hành vào tháng 5 năm 2025 và có hiệu lực vào tháng 1 năm 2026. Tuy nhiên, chúng tôi khuyến nghị tất cả các doanh nghiệp cần xử lý dữ liệu cá nhân tại Việt Nam bắt đầu công tác chuẩn bị ngay từ bây giờ, vì các yêu cầu về tuân thủ dự kiến sẽ bao quát rất nhiều khía cạnh. KPMG luôn sẵn sàng sẵn thảo luận về cách doanh nghiệp của quý vị có thể bắt đầu cập nhật chính sách, tài liệu, quy trình và thủ tục để phù hợp với các quy định sắp tới.
Những thay đổi chính
| Vấn đề | Nội dung |
|---|---|
| Mở rộng phạm vi áp dụng | Các tổ chức xử lý dữ liệu cá nhân của công dân nước ngoài tại Việt Nam sẽ được điều chỉnh. |
| Bảo vệ dữ liệu nhạy cảm | Yêu cầu đánh giá mức độ tin cậy về bảo vệ dữ liệu. |
| Nguyên tắc mới cho các tập đoàn | Mỗi công ty trong một tập đoàn phải tự bảo vệ dữ liệu cá nhân một cách độc lập, với sự đồng ý riêng biệt và rõ ràng cho từng đơn vị. |
| Điều kiện cho sự đồng ý | Các tổ chức không thể yêu cầu đối tượng dữ liệu đồng ý với việc chuyển giao dữ liệu cho các dịch vụ không liên quan. |
| Đánh giá tác động xử lý dữ liệu | Yêu cầu mô tả và đánh giá về tình trạng tuân thủ hiện tại đối với các quy định bảo vệ dữ liệu cá nhân, kèm theo tài liệu về xếp hạng tuân thủ bảo vệ dữ liệu. |
| Chuyển dữ liệu cá nhân ra nước ngoài | Các hoạt động chuyển dữ liệu ra nước ngoài được điều chỉnh bao gồm chia sẻ dữ liệu với người nhận ở nước ngoài, tại các sự kiện quốc tế, gửi dữ liệu cá nhân ra nước ngoài, công bố trực tuyến, phục vụ mục đích kinh doanh, và đáp ứng các yêu cầu pháp lý nước ngoài. |
| Cập nhật hồ sơ nộp cho cơ quan quản lý | Các báo cáo Đánh giá tác động xử lý và chuyển giao dữ liệu phải được cập nhật sáu tháng một lần hoặc ngay lập tức trong trường hợp giải thể công ty, sáp nhập, thay đổi nhân viên bảo vệ dữ liệu, hoặc thay đổi dịch vụ hoặc hoạt động liên quan đến dữ liệu đã đăng ký. |
| Hợp đồng với đối tượng dữ liệu | Các hợp đồng với đối tượng dữ liệu phải bao gồm các điều khoản bảo vệ dữ liệu cá nhân, nêu rõ trách nhiệm, quyền và nghĩa vụ. Các biện pháp giám sát nhân viên phải được nêu rõ và yêu cầu sự đồng ý. |
| Các cơ chế cung cấp dịch vụ mới | Các khái niệm và yêu cầu mới được giới thiệu cho các dịch vụ bảo vệ dữ liệu cá nhân, bao gồm các tổ chức cung cấp dịch vụ bảo vệ dữ liệu, chuyên gia bảo vệ dữ liệu, các tổ chức chứng nhận tuân thủ, và các đơn vị đánh giá độ tin cậy trong bảo vệ dữ liệu. |
Các trường hợp xử lý dữ liệu đặc biệt
Quy định cho các lĩnh vực cụ thể
Đặt câu hỏi cho KPMG
Bùi Thị Thanh Ngọc
Luật sư điều hành
Công ty Luật KPMG Việt Nam
Trần Bảo Trung
Phó Giám đốc
Công ty Luật KPMG Việt Nam
Tải bản tin về máy
Đừng bỏ lỡ cập nhật mới nhất
Đăng ký cổng Cập nhật Thuế và Pháp luật của KPMG để nhận thông tin mới nhất về hòm thư của quý vị
Đăng ký tại đây Opens in a new window