Ngày 27/6/2025, Quốc hội Việt Nam đã chính thức thông qua Luật Bảo vệ Dữ liệu Cá nhân – đạo luật đầu tiên quy định toàn diện về việc thu thập, xử lý và bảo vệ dữ liệu cá nhân tại Việt Nam. Luật sẽ có hiệu lực từ ngày 1/1/2026, đánh dấu bước tiến lớn trong nỗ lực xây dựng khung pháp lý phù hợp với xu thế toàn cầu về quyền riêng tư. 
Dưới đây là những điểm đáng chú ý được nêu trong Luật:
1. Mở rộng phạm vi áp dụng
Không chỉ áp dụng cho tổ chức, cá nhân trong nước, Luật Bảo vệ Dữ liệu Cá nhân còn điều chỉnh cả các tổ chức nước ngoài có hoạt động xử lý dữ liệu cá nhân tại Việt Nam hoặc liên quan đến cá nhân có quốc tịch Việt Nam.
Như vậy, các doanh nghiệp toàn cầu có hoạt động tại Việt Nam hoặc nhắm đến thị trường Việt Nam – đơn cử như các nền tảng mạng xã hội, thương mại điện tử xuyên biên giới – cũng phải tuân thủ.
2. Siết chặt yêu cầu về sự đồng ý của chủ thể dữ liệu
Luật quy định rõ: Việc thu thập, xử lý dữ liệu cá nhân chỉ hợp pháp khi có sự đồng ý của chủ thể dữ liệu, với các điều kiện:
- Mỗi mục đích xử lý dữ liệu phải có sự đồng ý riêng biệt, không được gộp chung nhiều mục đích trong một yêu cầu đồng ý.
- Việc xin ý kiến đồng ý phải được thực hiện trước khi bất kỳ hành vi thu thập hay xử lý dữ liệu nào diễn ra.
- Chủ thể dữ liệu có quyền rút lại sự đồng ý mà không cần nêu lý do, và doanh nghiệp có trách nhiệm xử lý yêu cầu đó kịp thời, không gây cản trở hoặc trì hoãn.
3. Bổ sung quy định khi chuyển dữ liệu ra nước ngoài
Nhằm hạn chế nguy cơ rò rỉ, lạm dụng dữ liệu, Luật đưa ra các yêu cầu chặt chẽ khi chuyển dữ liệu cá nhân ra khỏi lãnh thổ Việt Nam:
- Doanh nghiệp phải đánh giá tác động (DPIA) trước khi chuyển giao dữ liệu;
- Khai báo với Cơ quan chuyên trách về nội dung, mục đích, phạm vi và bên nhận dữ liệu;
- Chỉ chuyển dữ liệu tới quốc gia có mức độ bảo vệ tương đương Việt Nam (theo tiêu chí do Chính phủ quy định);
- Ký kết hợp đồng phù hợp với bên nhận dữ liệu, trong đó làm rõ nghĩa vụ bảo vệ dữ liệu và trách nhiệm pháp lý của các bên.
4. Bắt buộc bổ nhiệm nhân sự bảo vệ dữ liệu tại doanh nghiệp
Một điểm mới đáng chú ý là yêu cầu các tổ chức, doanh nghiệp xử lý dữ liệu quy mô lớn hoặc dữ liệu nhạy cảm phải bổ nhiệm:
- Chỉ định cá nhân hoặc đơn vị chuyên trách về bảo vệ dữ liệu cá nhân;
- Đồng thời xây dựng quy trình kiểm soát, đánh giá và quản trị rủi ro liên quan đến dữ liệu.
5. Chính sách hỗ trợ doanh nghiệp nhỏ, siêu nhỏ và khởi nghiệp:
Nhằm tạo điều kiện cho doanh nghiệp vừa và nhỏ thích ứng:
- Doanh nghiệp nhỏ, vừa, khởi nghiệp: Được gia hạn thời gian tuân thủ 5 năm kể từ ngày luật có hiệu lực;
- Hộ kinh doanh, doanh nghiệp siêu nhỏ: Được miễn nghĩa vụ bổ nhiệm nhân sự bảo vệ dữ liệu (trừ trường hợp (i) xử lý lượng lớn dữ liệu, (ii) dữ liệu nhạy cảm hoặc (iii) cung cấp dịch vụ xử lý dữ liệu cho bên thứ ba).
6. Bổ sung cơ chế kiểm tra và chế tài
Để đảm bảo tính tuân thủ, Luật quy định thành lập Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân, thuộc Bộ Công an.
Đáng chú ý, Luật cũng quy định mức xử phạt như sau:
- Phạt đến 5% doanh thu năm liền kề trước đối với vi phạm chuyển dữ liệu cá nhân ra nước ngoài;
- Phạt gấp 10 lần khoản thu được từ hành vi mua bán dữ liệu trái phép;
- Các hành vi vi phạm khác có thể bị phạt tối đa 3 tỷ đồng.
Doanh nghiệp cần chủ động rà soát, nâng cấp hệ thống quản trị dữ liệu ngay từ bây giờ để vừa bảo đảm tuân thủ luật, vừa nâng cao năng lực cạnh tranh trong môi trường kinh doanh ngày càng đề cao quyền riêng tư.




