Luật Bảo Vệ Dữ Liệu Cá Nhân 2025: Toàn Tập Quy Định, Quyền Và Nghĩa Vụ

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được Quốc hội thông qua ngày 26/6/2025, là một văn bản pháp lý nền tảng, kiến tạo một kỷ nguyên mới về bảo vệ quyền riêng tư và an ninh dữ liệu tại Việt Nam. Văn bản quy phạm pháp luật này không chỉ là một bộ quy tắc, mà còn là một cam kết mạnh mẽ về việc bảo vệ các quyền cơ bản của con người trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ.

Tại Luật Thành Đô, chúng tôi nhận thấy việc chủ động nắm bắt và áp dụng các quy định của bộ luật về bảo vệ thông tin cá nhân này là cơ hội để doanh nghiệp nâng cao uy tín, xây dựng lòng tin với khách hàng và tạo dựng lợi thế cạnh tranh bền vững. Bài viết này sẽ là một cẩm nang toàn diện, giúp Quý vị hiểu rõ các điểm cốt lõi, quyền của chủ thể dữ liệu và trách nhiệm của tổ chức, từ đó có kế hoạch tuân thủ hiệu quả trước khi luật chính thức có hiệu lực vào ngày 01/01/2026.

1. Tổng quan và những điểm nổi bật của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 đánh dấu một bước ngoặt lịch sử trong hệ thống pháp luật Việt Nam. Đây là lần đầu tiên, một đạo luật chuyên ngành được ban hành để điều chỉnh một cách toàn diện và thống nhất mọi hoạt động liên quan đến dữ liệu cá nhân, thay thế cho các quy định còn phân mảnh trước đây, tiêu biểu là Nghị định 13/2023/NĐ-CP.

Tải về toàn văn Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tại đây: [Tải file PDF]

1.1. Cơ sở pháp lý

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ 9 thông qua ngày 26/6/2025.
• Hiệu lực thi hành: Ngày 01 tháng 01 năm 2026.

1.2. Các điểm mới Luật Bảo vệ dữ liệu cá nhân 2025 gồm những gì?

Mở rộng phạm vi điều chỉnh, khẳng định chủ quyền số quốc gia

Phân loại rành mạch dữ liệu cá nhân cơ bản và nhạy cảm

Để có cơ chế bảo vệ phù hợp, Luật lần đầu tiên phân định rõ ràng hai loại dữ liệu, một bước tiến lớn so với quy định chung chung trước đây.

Danh mục chi tiết của hai loại dữ liệu này sẽ được Chính phủ quy định cụ thể, tạo sự rõ ràng và thuận lợi cho các tổ chức trong quá trình phân loại và áp dụng biện pháp bảo vệ.

2. Chủ thể dữ liệu có quyền gì theo Luật Bảo vệ dữ liệu cá nhân 2025?

Luật Bảo vệ dữ liệu cá nhân 2025 đặt chủ thể dữ liệu vào vị trí trung tâm, trao cho họ một bộ quyền mạnh mẽ để kiểm soát thông tin của chính mình. Doanh nghiệp cần hiểu rõ và xây dựng quy trình để đáp ứng các quyền này một cách hiệu quả. Các quyền cơ bản của chủ thể dữ liệu bao gồm:

• Quyền được biết: Cá nhân có quyền được thông báo một cách rõ ràng, minh bạch về hoạt động xử lý dữ liệu của mình trước khi việc thu thập diễn ra. Doanh nghiệp phải công khai mục đích xử lý, loại dữ liệu, bên xử lý, thời gian lưu trữ...
• Quyền đồng ý: Sự đồng ý phải được đưa ra một cách tự nguyện, rõ ràng cho từng mục đích cụ thể. Sự im lặng không được coi là đồng ý.
• Quyền rút lại sự đồng ý: Cá nhân có thể rút lại sự đồng ý bất kỳ lúc nào, và việc rút lại phải dễ dàng như khi họ đã đồng ý.
• Quyền truy cập: Cá nhân có quyền yêu cầu doanh nghiệp cung cấp một bản sao dữ liệu cá nhân của họ mà doanh nghiệp đang nắm giữ.
• Quyền chỉnh sửa: Nếu dữ liệu không chính xác hoặc không đầy đủ, cá nhân có quyền yêu cầu doanh nghiệp chỉnh sửa lại cho đúng.
• Quyền xóa dữ liệu: Cá nhân có quyền yêu cầu xóa dữ liệu của mình trong một số trường hợp nhất định, ví dụ như khi dữ liệu không còn cần thiết cho mục đích ban đầu hoặc khi đã rút lại sự đồng ý.
• Quyền hạn chế xử lý: Trong một số trường hợp (ví dụ: đang tranh cãi về tính chính xác của dữ liệu), cá nhân có quyền yêu cầu tạm thời ngừng xử lý dữ liệu của họ.
• Quyền phản đối xử lý: Cá nhân có quyền phản đối việc xử lý dữ liệu của họ cho các mục đích như tiếp thị trực tiếp.
• Quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại: Khi quyền lợi bị xâm phạm, cá nhân có đầy đủ cơ chế pháp lý để tự bảo vệ mình.

Việc tôn trọng và đáp ứng kịp thời các quyền này không chỉ là nghĩa vụ pháp lý mà còn là cách tốt nhất để doanh nghiệp thể hiện sự tôn trọng và xây dựng mối quan hệ bền vững với khách hàng.

Doanh nghiệp của bạn đã có quy trình để xử lý yêu cầu của chủ thể dữ liệu chưa? Luật Thành Đô cung cấp dịch vụ tư vấn và xây dựng bộ quy trình nội bộ, từ biểu mẫu yêu cầu, cơ chế xác minh, đến kịch bản phản hồi, đảm bảo tuân thủ đầy đủ các quy định về quyền của chủ thể dữ liệu.

3. Doanh nghiệp cần làm gì để tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025?

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đặt ra các trách nhiệm rõ ràng cho các tổ chức, doanh nghiệp (được xác định là Bên Kiểm soát hoặc Bên Xử lý dữ liệu). Việc chủ động thực hiện các nghĩa vụ này là chìa khóa để tránh các rủi ro pháp lý.

Để tuân thủ hiệu quả các quy định về bảo vệ dữ liệu cá nhân, doanh nghiệp cần một lộ trình triển khai rõ ràng và toàn diện. Dưới đây là 8 đầu việc cốt lõi được phân chia theo từng giai đoạn thực thi.

Giai đoạn 1: Xây dựng Nền tảng Pháp lý & Minh bạch

Đây là những bước đầu tiên, tạo ra khung pháp lý và sự minh bạch trong cách doanh nghiệp xử lý dữ liệu.

Giai đoạn 2: Triển khai Biện pháp Bảo vệ và Quản trị

Đây là giai đoạn thực thi các biện pháp cụ thể để bảo vệ dữ liệu trong hoạt động hàng ngày.

Giai đoạn 3: Giám sát, Đánh giá và Xử lý Sự cố

Việc tuân thủ không phải là một dự án làm một lần mà là một quá trình liên tục, đòi hỏi cách tiếp cận có hệ thống và sự cam kết mạnh mẽ từ cấp lãnh đạo cao nhất của doanh nghiệp.

4. Các hành vi bị nghiêm cấm và chế tài xử phạt quy định như thế nào theo Luật Bảo vệ dữ liệu cá nhân?

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đưa ra một danh sách rõ ràng các hành vi bị cấm tuyệt đối, nhằm ngăn chặn các hoạt động xâm phạm nghiêm trọng đến quyền riêng tư và an ninh quốc gia.

7 nhóm hành vi bị nghiêm cấm chính

1. Xử lý dữ liệu nhằm chống lại Nhà nước, gây ảnh hưởng quốc phòng, an ninh.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng.
3. Lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định (không có sự đồng ý, sai mục đích).
5. Sử dụng dữ liệu của người khác cho mục đích trái pháp luật.
6. Mua, bán dữ liệu cá nhân trái phép (trừ trường hợp luật có quy định khác).
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Chế tài xử phạt nghiêm khắc

Đây là một trong những điểm mới mang tính răn đe cao nhất của Luật. Mức phạt không chỉ dừng lại ở một con số cố định mà còn có thể được tính dựa trên doanh thu của doanh nghiệp vi phạm.

1. Phạt tiền đối với hành vi mua, bán dữ liệu cá nhân: Tối đa 10 lần khoản thu có được từ hành vi vi phạm.
2. Phạt tiền đối với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép: Tối đa 5% tổng doanh thu của năm tài chính trước liền kề.
3. Phạt tiền đối với các vi phạm khác: Tối đa lên đến 3 tỷ đồng.
4. Truy cứu trách nhiệm hình sự: Đối với các vi phạm có đủ yếu tố cấu thành tội phạm.
5. Bồi thường thiệt hại: Doanh nghiệp vi phạm phải bồi thường toàn bộ thiệt hại gây ra cho chủ thể dữ liệu.

Các chế tài này cho thấy sự quyết tâm của nhà nước trong việc bảo vệ dữ liệu cá nhân, buộc các tổ chức phải đầu tư nghiêm túc vào công tác tuân thủ.

5. Cơ quan chuyên trách và cơ chế thực thi Luật Bảo vệ dữ liệu cá nhân 2025 quy định như thế nào?

Để đảm bảo luật được thực thi hiệu quả, một cơ chế giám sát rõ ràng đã được thiết lập.

• Cơ quan chuyên trách: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an được giao nhiệm vụ là cơ quan đầu mối, giúp Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
• Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: Đây sẽ là kênh thông tin chính thức để tuyên truyền, phổ biến pháp luật, tiếp nhận các hồ sơ đăng ký, báo cáo và thông báo vi phạm từ các tổ chức, cá nhân.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 không chỉ là một thách thức về mặt tuân thủ, mà còn là một cơ hội lớn. Doanh nghiệp nào chủ động xây dựng một chương trình bảo vệ dữ liệu cá nhân mạnh mẽ, minh bạch và tôn trọng người dùng sẽ không chỉ đáp ứng được yêu cầu của pháp luật mà còn xây dựng được một tài sản vô giá: lòng tin. Trong nền kinh tế số, lòng tin chính là đơn vị tiền tệ quan trọng nhất.

6. Quy định chuyển tiếp từ Nghị định 13/2023/NĐ-CP sang Luật Bảo vệ dữ liệu cá nhân 2025 gồm nội dung gì?

Để đảm bảo quá trình chuyển đổi từ Nghị định 13/2023/NĐ-CP sang Luật mới diễn ra thuận lợi, không gây gián đoạn hoạt động kinh doanh. Luật Bảo vệ dữ liệu cá nhân 2025 đã có những quy định chuyển tiếp cụ thể tại Điều 39. Đây là những nội dung đã được Luật Thành Đô đóng góp trong hội thảo do Bộ Công an tổ chức về xây dựng Luật Bảo vệ dữ liệu cá nhân. Đây là nội dung vô cùng quan trọng mà mọi doanh nghiệp cần nắm vững để xây dựng lộ trình tuân thủ hiệu quả.

Giá trị của các hoạt động tuân thủ đã thực hiện theo Nghị định 13

Một trong những quan tâm lớn nhất của doanh nghiệp là liệu các nỗ lực tuân thủ theo Nghị định 13 có còn giá trị khi Luật mới có hiệu lực hay không. Điều 39 của Luật đã đưa ra câu trả lời rõ ràng, mang lại sự yên tâm và giúp giảm bớt gánh nặng hành chính đáng kể.

Về sự đồng ý của chủ thể dữ liệu:

• Các hoạt động xử lý dữ liệu cá nhân đang được thực hiện mà đã có sự đồng ý hợp lệ của chủ thể dữ liệu (hoặc các thỏa thuận khác) theo quy định của Nghị định 13/2023/NĐ-CP trước ngày 01/01/2026 thì được phép tiếp tục.
• Quý doanh nghiệp không cần phải tiến hành xin lại sự đồng ý hàng loạt từ khách hàng, nhân viên hay đối tác của mình đối với các hoạt động xử lý dữ liệu đang diễn ra. Điều này giúp tiết kiệm thời gian, chi phí và tránh gây phiền hà không cần thiết cho chủ thể dữ liệu.

Về các Hồ sơ Đánh giá Tác động đã nộp:

• Các Hồ sơ Đánh giá Tác động Xử lý Dữ liệu cá nhân và Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài đã được doanh nghiệp lập và nộp cho cơ quan chuyên trách (Cục A05) theo quy định của Nghị định 13 trước ngày Luật có hiệu lực sẽ tiếp tục được công nhận giá trị pháp lý.
• Doanh nghiệp sẽ không phải tốn kém nguồn lực để lập lại từ đầu các bộ hồ sơ phức tạp này theo quy định của Luật mới. Các hồ sơ đã nộp vẫn được xem là bằng chứng cho việc tuân thủ nghĩa vụ đánh giá tác động của doanh nghiệp.

Lưu ý quan trọng về nghĩa vụ cập nhật trong tương lai

Mặc dù các hoạt động cũ được công nhận, Luật Bảo vệ dữ liệu cá nhân 2025 cũng đặt ra một yêu cầu quan trọng mà doanh nghiệp không thể bỏ qua:

• Kể từ ngày 01/01/2026, mọi hoạt động cập nhật, sửa đổi, bổ sung đối với các Hồ sơ Đánh giá Tác động đã lập trước đó đều phải tuân thủ theo quy trình và nội dung được quy định trong Luật Bảo vệ dữ liệu cá nhân 2025.
• Điều này có nghĩa là, nếu doanh nghiệp có bất kỳ thay đổi nào trong hoạt động xử lý dữ liệu (Ví dụ: thay đổi mục đích, thêm loại dữ liệu mới, chia sẻ cho bên thứ ba mới), việc cập nhật hồ sơ sẽ phải được thực hiện theo tiêu chuẩn và quy trình của Luật mới, không phải theo Nghị định 13 nữa.

Bảng tổng hợp Lộ trình chuyển tiếp

Để dễ dàng theo dõi, Luật Thành Đô đã tổng hợp các điểm chính trong bảng dưới đây:

Việc nắm rõ các quy định chuyển tiếp này sẽ giúp Quý doanh nghiệp xây dựng một lộ trình chuyển đổi thông minh và hiệu quả, vừa đảm bảo tuân thủ pháp luật, vừa tối ưu hóa các nguồn lực đã đầu tư.

Để đảm bảo quá trình chuyển đổi và tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025 diễn ra suôn sẻ và hiệu quả, việc có được sự tư vấn từ các chuyên gia là vô cùng quan trọng. Luật Thành Đô cung cấp gói dịch vụ "Đánh giá mức độ sẵn sàng tuân thủ Luật Bảo vệ dữ liệu cá nhân", giúp doanh nghiệp xác định các lỗ hổng, xây dựng lộ trình và triển khai các giải pháp cần thiết.