Hỏi đáp pháp luật, Tư vấn, Tư vấn pháp luật

Những điểm đáng chú ý của Luật Bảo vệ dữ liệu cá nhân

Posted on by Quản trị viên

  1. Cá nhân được quyền yêu cầu xóa, chỉnh sửa dữ liệu cá nhân

Theo khoản 1 Điều 14 Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân sẽ được xóa, hủy trong các trường hợp sau:

Cá nhân yêu cầu và chấp nhận các rủi ro có thể xảy ra;

  • Mục đích xử lý dữ liệu đã hoàn thành;
  • Hết thời hạn lưu trữ theo quy định của pháp luật;
  • Có quyết định từ cơ quan nhà nước có thẩm quyền;
  • Theo thỏa thuận giữa các bên;
  • Trường hợp khác theo quy định pháp luật.

Việc xóa dữ liệu phải bảo đảm an toàn và ngăn chặn việc khôi phục trái phép. Nếu không thể xóa vì lý do chính đáng, bên kiểm soát dữ liệu phải thông báo lại cho người yêu cầu.

Điều 13 Luật 91/2025/QH15 quy định cá nhân có thể tự chỉnh sửa một số loại dữ liệu cá nhân hoặc yêu cầu bên kiểm soát dữ liệu thực hiện chỉnh sửa;

Bên kiểm soát dữ liệu có trách nhiệm xử lý yêu cầu trong thời hạn luật định. Việc chỉnh sửa phải đảm bảo tính chính xác và nếu không thể thực hiện vì lý do hợp lý thì phải có thông báo chính thức.

  1. Từ 2026, mức phạt lên tới 5% doanh thu với hành vi vi phạm bảo vệ dữ liệu cá nhân

Theo khoản 4 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, tổ chức vi phạm các quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị xử phạt vi phạm hành chính với mức phạt tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó.

Nếu không có doanh thu năm trước hoặc mức phạt tính theo doanh thu thấp hơn mức cố định, thì áp dụng mức phạt tối đa khác được quy định tại khoản 5 Điều 8.

Ngoài vi phạm liên quan đến chuyển dữ liệu xuyên biên giới, Luật cũng quy định:

  • Mua, bán dữ liệu cá nhân: Mức phạt tối đa là 10 lần khoản thu từ hành vi vi phạm (khoản 3 Điều 8);
  • Các vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân: Có thể bị phạt tới 3 tỷ đồng (khoản 5 Điều 8);
  • Cá nhân vi phạm: Mức phạt tối đa bằng một nửa mức áp dụng với tổ chức (khoản 6 Điều 8).

  1. Doanh nghiệp công nghệ xử lý dữ liệu lớn, AI, Blockchain chỉ được xử lý dữ liệu trong phạm vi cần thiết

Theo khoản 1 Điều 30 Luật 91/2025/QH15:

“Dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.”

Doanh nghiệp không được thu thập hoặc xử lý vượt quá mục đích đã công bố hoặc thỏa thuận với người dùng.

Khoản 2 Điều 30 Luật này còn quy định hoạt động xử lý phải phù hợp với quy định của pháp luật Việt Nam; phù hợp với thuần phong mỹ tục, chuẩn mực đạo đức. Không được phát triển các hệ thống dùng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh, tính mạng, danh dự, nhân phẩm (khoản 5 Điều 30).

Theo khoản 3 Điều 30, hệ thống công nghệ xử lý dữ liệu cá nhân cần tích hợp các biện pháp bảo mật dữ liệu phù hợp; Sử dụng phương thức xác thực và định danh phù hợp; Thiết lập phân quyền truy cập khi xử lý dữ liệu cá nhân.

Luật yêu cầu doanh nghiệp khi xử lý dữ liệu bằng AI phải phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp.” (theo khoản 4 Điều 30)

Điều này đặc biệt quan trọng trong các ứng dụng như AI chấm điểm tín dụng, chẩn đoán y khoa, nhận

  1. Mạng xã hội không được yêu cầu hình ảnh giấy tờ tùy thân làm xác thực

Theo khoản 2 Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, truyền thông trực tuyến không được:

“Yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.”

Điều này có nghĩa, kể từ ngày Luật có hiệu lực, các nền tảng mạng xã hội không được sử dụng CCCD, CMND, hộ chiếu… dưới dạng ảnh/video làm phương tiện xác minh tài khoản của người dùng.

Khoản 6 Điều 29 Luật 91/2025/QH15 yêu cầu tổ chức cung cấp mạng xã hội phải: Công khai chính sách bảo mật; Giải thích rõ cách thu thập, sử dụng, chia sẻ dữ liệu cá nhân; Cung cấp cơ chế truy cập, chỉnh sửa, xóa dữ liệu; Thiết lập quyền riêng tư và xử lý vi phạm kịp thời.

  1. Nhà tuyển dụng chỉ thu thập dữ liệu ứng viên phục vụ mục đích tuyển dụng

Theo khoản 1 Điều 25 Luật 91/2025/QH15, tổ chức, cá nhân tuyển dụng chỉ được:

– Yêu cầu ứng viên cung cấp thông tin phục vụ trực tiếp cho mục đích tuyển dụng;

– Không được thu thập thông tin quá mức hoặc không liên quan;

– Chỉ được sử dụng dữ liệu đó cho tuyển dụng hoặc mục đích khác nếu được ứng viên đồng ý.

Bên cạnh đó, thông tin cá nhân của người dự tuyển phải được xử lý theo quy định pháp luật và có sự đồng ý của ứng viên, kể cả khi thu thập qua hồ sơ hoặc phỏng vấn.

Nếu không tiếp nhận ứng viên, nhà tuyển dụng phải xóa hoặc hủy toàn bộ thông tin cá nhân đã thu thập, trừ khi hai bên có thỏa thuận khác.

  1. Doanh nghiệp phải xóa dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng

Theo khoản 2 Điều 25 Luật 91/2025/QH15, dữ liệu cá nhân của người lao động chỉ được lưu giữ trong thời hạn theo quy định pháp luật hoặc theo thỏa thuận hợp pháp giữa hai bên.

Ngoài ra, theo khoản 2 điểm c Điều 25 quy định người sử dụng lao động phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Điều này có nghĩa: nếu không có lý do chính đáng (như yêu cầu lưu trữ hồ sơ bảo hiểm, thuế…), doanh nghiệp phải chấm dứt xử lý dữ liệu ngay khi kết thúc quan hệ lao động.

Khoản 3 Điều 25 của Luật cũng nêu rõ, doanh nghiệp chỉ được áp dụng công nghệ, kỹ thuật (như GPS, camera, phần mềm chấm công…) khi người lao động biết rõ và đồng ý; Không được sử dụng dữ liệu thu thập được từ các công cụ này vào mục đích khác nếu không có sự đồng ý.

  1. Mua bán dữ liệu cá nhân có thể bị phạt đến 10 lần khoản thu từ hành vi vi phạm

Theo khoản 6 Điều 7 Luật 91/2025/QH15 thì mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác, là hành vi bị nghiêm cấm.

Khoản 3 Điều 8 quy định rõ mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm

Trường hợp không xác định được khoản thu, hoặc khoản thu thấp hơn mức phạt cố định (theo khoản 5 Điều 8), thì áp dụng mức phạt cố định là:

  • Tối đa 3 tỷ đồng với tổ chức;
  • Tối đa 1,5 tỷ đồng với cá nhân (theo khoản 6 Điều 8).

Ngoài phạt tiền, theo khoản 1 Điều 8 mua bán dữ liệu cá nhân còn có thể bị truy cứu trách nhiệm hình sự nếu hành vi vi phạm gây hậu quả nghiêm trọng; Buộc bồi thường thiệt hại cho chủ thể dữ liệu bị ảnh hưởng; Xử phạt bổ sung hoặc khắc phục hậu quả, tùy theo tính chất và mức độ vi phạm.

  1. Ngân hàng, tổ chức tín dụng không được chấm điểm tín dụng nếu chưa có sự đồng ý của khách hàng

Theo điểm b khoản 1 Điều 27 Luật 91/2025/QH15:

“Không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân.”

Điều này áp dụng cho cả ngân hàng, công ty tài chính và các tổ chức thu thập, xử lý thông tin tín dụng.

Các tổ chức tín dụng chỉ được thu thập những dữ liệu cần thiết từ nguồn hợp pháp và phù hợp với quy định của Luật, không được thu thập tràn lan hay sử dụng dữ liệu từ nguồn không minh bạch (điểm c khoản 1 Điều 27).

Bên cạnh đó điểm d khoản 1 Điều 27 quy định:

“Phải thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.”

Đây là trách nhiệm bắt buộc nhằm bảo đảm quyền được biết và ứng phó của người dùng khi xảy ra vi phạm dữ liệu.

  1. Tổ chức quảng cáo chỉ được sử dụng dữ liệu cá nhân khi có sự đồng ý

Theo khoản 3 Điều 28 Luật Bảo vệ dữ liệu cá nhân 2025, số 91/2025/QH15:

“Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm…”

Ngoài ra, tổ chức quảng cáo phải cung cấp cơ chế để khách hàng từ chối nhận thông tin quảng cáo.

Khoản 1 và 2 Điều 28 Luật Bảo vệ dữ liệu cá nhân 2025 còn quy định t ổ chức quảng cáo chỉ được sử dụng dữ liệu do bên kiểm soát dữ liệu chuyển giao theo đúng thỏa thuận; Hoặc do chính mình thu thập từ khách hàng trong quá trình kinh doanh;

Bên kiểm soát dữ liệu chỉ được chuyển giao dữ liệu cho tổ chức quảng cáo nếu phù hợp quy định pháp luật.

Ngoài ra, theo khoản 6 Điều 28:

“Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để bên thứ ba thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân.”

Tổ chức quảng cáo phải trực tiếp thực hiện, đồng thời chịu trách nhiệm chứng minh nguồn dữ liệu và quá trình sử dụng dữ liệu đó (khoản 7 Điều 28).

  1. Dịch vụ mạng xã hội không được nghe lén, đọc tin nhắn người dùng nếu không được phép

Theo khoản 5 Điều 29, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, truyền thông trực tuyến:

“Không được nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.”

Các nền tảng không được thu thập trái phép dữ liệu cá nhân hoặc thu thập vượt phạm vi thỏa thuận với người dùng (khoản 1 Điều 29).

  1. Doanh nghiệp bảo hiểm phải có sự đồng ý của khách hàng khi chia sẻ dữ liệu với bên thứ ba

Theo khoản 2 Điều 26 Luật Bảo vệ dữ liệu cá nhân 2025:

“Cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không được cung cấp dữ liệu cá nhân cho bên thứ ba… trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân hoặc thuộc trường hợp pháp luật cho phép.”

Như vậy, doanh nghiệp bảo hiểm chỉ được tiếp cận dữ liệu sức khỏe khi có sự đồng ý rõ ràng từ khách hàng.

Ngoài ra, khoản 4 Điều 26 quy định:

“Trường hợp doanh nghiệp bảo hiểm chuyển dữ liệu cho đối tác tái bảo hiểm hoặc nhượng tái bảo hiểm, điều này phải được nêu rõ trong hợp đồng với khách hàng.”

Đồng thời, cả doanh nghiệp bảo hiểm và bên phát triển ứng dụng bảo hiểm cũng phải tuân thủ Luật Bảo vệ dữ liệu cá nhân; Không được xử lý thông tin sai mục đích, trái pháp luật (khoản 1, 3 Điều 26).

Xem thêm: Không gọi nhập ngũ công dân cận thị trên 1.5 diop, viễn thị các mức độ