Trang chủ

Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự thảo) dự kiến được trình Quốc hội vào tháng 5/2025 và có hiệu lực từ ngày 1/1/2026. Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự thảo) xoay quanh 05 trụ cột chính, gồm: (i) Quyền và nghĩa vụ của chủ thể dữ liệu; (ii) Bảo vệ dữ liệu cá nhân trong quá trình xử lý; (iii) Bảo vệ dữ liệu cá nhân trong quá trình sử dụng; (iv) Biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân; (v) Trách nhiệm của cơ quan, tổ chức, cá nhân.

1. Hiểu đúng về xử lý dữ liệu cá nhân 

Dự thảo quy định xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân. Trong đó, tác động được hiểu là các hành vi thu thập, ghi, phân tích, xác nhận, lưu trữ, xóa, hủy dữ liệu cá nhân,...

Có thể thấy, con đường mà các nhà làm luật định hướng cho xử lý dữ liệu cá nhân sẽ tương đối rộng, khi "xử lý" được hiểu không chỉ dừng ở việc phân tích mà còn bao gồm lưu trữ, thu thập,... Chẳng hạn việc lưu trữ một file tài liệu có thông tin cá nhân của khách hàng cũng có thể được coi là xử lý dữ liệu cá nhân. Vì vậy để tránh lúng túng và có các hành động, ứng xử phù hợp khi Luật Bảo vệ dữ liệu cá nhân chính thức được ban hành, cán bộ nhân viên cần nắm rõ và hiểu đúng về xử lý dữ liệu cá nhân. 

2. Các hành vi bị nghiêm cấm

Dự thảo quy định 6 hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân, bao gồm:

• Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân; tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước CHXHCN Việt Nam, gây ảnh hưởng tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

• Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền.

• Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

• Thu thập, xử lý, chuyển giao dữ liệu cá nhân trái quy định của pháp luật.

• Mua, bán dữ liệu cá nhân.

• Cố ý chiếm đoạt, làm lộ, mất dữ liệu cá nhân

Cán bộ, nhân viên lưu ý tuyệt đối không được thực hiện các hành vi bị nghiêm cấm theo quy định pháp luật. 

3. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân

Bên Kiểm soát dữ liệu cá nhân được hiểu là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Theo quy định tại Dự thảo, Bên Kiểm soát dữ liệu cá nhân có trách nhiệm, như:

• Lưu trữ và ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân bằng văn bản hoặc hình thức điện tử.

• Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp phù hợp.

• Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp.

• Chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.

4. Trách nhiệm của Bên xử lý dữ liệu cá nhân

Bên Xử lý dữ liệu cá nhân được hiểu là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua hợp đồng với Bên Kiểm soát dữ liệu. Theo quy định tại Dự thảo, Bên Xử lý dữ liệu có các trách nhiệm, như:

• Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.

• Xử lý dữ liệu cá nhân theo đúng hợp đồng ký kết với Bên Kiểm soát dữ liệu cá nhân.

• Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.

• Chịu trách nhiệm trước Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.

5. Trách nhiệm của Bên thứ ba

Bên thứ ba được hiểu là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bển Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân. Theo quy định tại Dự thảo, Bên thứ ba có các trách nhiệm, như:

• Tổ chức đào tạo và nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

• Thực hiện kiểm tra, đánh giá định kỳ các biện pháp bảo vệ dữ liệu cá nhân để tuân thủ quy định pháp luật.

• Xây dựng quy trình và áp dụng các biện pháp xử lý sự cố dữ liệu nhanh chóng, hiệu quả trong trường hợp xảy ra vi phạm về bảo vệ dữ liệu cá nhân. 

6. Bảo vệ dữ liệu cá nhân trong hoạt động kinh doanh dịch vụ tiếp thị, quảng cáo theo hành vi hoặc có mục tiêu cụ thể

- Sử dụng dữ liệu cá nhân để tiếp thị là hoạt động liên quan tới việc gọi điện, gửi email, tin nhắn, thư hoặc truyền tải các thông tin tiếp thị khác tới người tiêu dùng thông qua dữ liệu cá nhân của khách hàng đã thu thập trước đó. Dịch tụ tiếp thị được hiểu là các hoạt động và chiến lược được sử dụng để quảng bá, tiếp cận và thuyết phục khách hàng tiềm năng về sản phẩm hoặc dịch vụ của một công ty, có thể bao gồm: nghiên cứu thị trường, chiến lược tiếp thị, quảng váo và truyền thông, tiếp thị nội dung, tiếp thị mạng xã hội, email, marketing, đánh giá và tối ưu hóa. Dự thảo quy định, tổ chức, cá nhân kinh doanh dịch vụ tiếp thị chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị và phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; cung cấp tùy chọn cho người dùng để có thể từ chối nhận các thông tin tiếp thị.

- Sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể là hoạt động sử dụng dữ liệu cá nhân của khách hàng hoặc dữ liệu hành vi của khách hàng để quảng cáo theo mục tiêu được xác định. Khi thu thập dữ liệu cá nhân thông qua việc theo dõi website, ứng dụng thì phải có sự đồng ý của khách hàng. Đồng thời, phải thiết lập hoạt động cho phép khách hàng từ chối chia sẻ dữ liệu cho các bối cảnh khác nhau; xác định rõ thời gian lưu trữ dữ liệu hành vi và xóa bỏ dữ liệu khi không còn cần thiết; nội dung quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải phù hợp với quy định pháp luật và đạo đức xã hội. 

Khi kinh doanh dịch vụ tiếp thị, quảng cáo theo hành vi hoặc có mục tiêu cụ thể không được thuê hoặc thỏa thuận để một tổ chức khác thay mặt thực hiện việc kinh doanh dịch vụ tiếp thị, quảng cáo theo hành vi hoặc có mục tiêu cụ thể dựa trên dữ liệu cá nhân khách hàng của mình. 

7. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân

Khi vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy theo mức độ vi phạm mà chủ thể vi phạm sẽ phải chịu trách nhiệm dân sự, bị xử lý kỷ luật, xử lý vi phạm hành chính, xử lý hình sự tương ứng.

Tại Dự thảo đang quy định áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân.

Ngoài ra, tại các văn bản pháp luật hiện hành cũng có các chế tài khác áp dụng với hành vi vi phạm về bảo vệ dữ liệu cá nhân. Cụ thể: