Luật Bảo vệ Dữ liệu Cá nhân mới của Việt Nam

Read in English

Hôm nay, Quốc hội đã chính thức thông qua Luật Bảo vệ Dữ liệu Cá nhân (Luật BV DLCN). Đây là bước tiến quan trọng, toàn diện hơn so với Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Luật sẽ chính thức có hiệu lực từ ngày 1 tháng 1 năm 2026. Văn bản Luật được ban hành chính thức dự kiến sẽ được công bố trong vài ngày tới.

Theo dự thảo mới nhất được trình Quốc hội vào ngày 13 tháng 6 năm 2025, Luật đưa ra nhiều quy định mới đáng chú ý, bao gồm:

• Chế tài xử phạt hành chính nghiêm khắc:
  • Phạt đến 10 lần khoản thu từ hành vi mua bán dữ liệu cá nhân trái phép.
  • Phạt đến 5% doanh thu của năm trước liền kề đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài.
  • Mức phạt tối đa cho các hành vi vi phạm khác lên đến 3 tỷ đồng.
• Bổ sung nghĩa vụ tuân thủ, đặc biệt trong các trường hợp xử lý dữ liệu không cần sự đồng ý của chủ thể dữ liệu.
• Các quy định đặc thù theo lĩnh vực, bao gồm lao động, y tế, bảo hiểm, tài chính, ngân hàng, thông tin tín dụng, quảng cáo, nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến, dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối (blockchain), vũ trụ ảo (metaverse), và điện toán đám mây.
• Các biện pháp bảo vệ dữ liệu nhạy cảm, bao gồm dữ liệu vị trí và dữ liệu sinh trắc học.
• Miễn trừ và giai đoạn chuyển tiếp dành cho một số đối tượng:
  • Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được tùy chọn áp dụng hoặc không áp dụng các yêu cầu như đánh giá tác động bảo vệ dữ liệu và bổ nhiệm bộ phận/bộ phận phụ trách bảo vệ dữ liệu cá nhân trong 5 năm kể từ ngày Luật có hiệu lực.
  • Hộ kinh doanh và doanh nghiệp siêu nhỏ được miễn thực hiện các yêu cầu này.

KPMG, với nhiều kinh nghiệm tư vấn liên quan đến Nghị định 13, sẽ tiếp tục đồng hành cùng doanh nghiệp trong việc hiểu và tuân thủ các quy định mới của Luật. Chúng tôi sẽ cập nhật thêm khi văn bản chính thức được công bố.