English
中文 (中国)
日本語
Vào ngày 24 tháng 9 năm 2024, chính phủ Việt Nam đã công bố dự thảo đầu tiên của Luật Bảo vệ dữ liệu cá nhân mới để tham vấn công chúng. Dự thảo luật này đánh dấu sự cải thiện đáng kể về khuôn khổ luật bảo vệ dữ liệu của Việt Nam, với các điều khoản chặt chẽ hơn so với luật bảo vệ dữ liệu cá nhân hiện hành. Dự thảo Luật Bảo vệ dữ liệu cá nhân có khả năng có hiệu lực vào ngày 1 tháng 1 năm 2026, đưa ra cách tiếp cận toàn diện về hoạt động bảo vệ dữ liệu trong nhiều lĩnh vực khác nhau, từ tiếp thị đến dịch vụ tài chính.
Điểm chính của Dự thảo luật
Định nghĩa rõ ràng về Dữ liệu cá nhân
Dự thảo đưa ra các định nghĩa mới và sửa đổi các thuật ngữ hiện tại. Dự thảo phân biệt giữa “dữ liệu cá nhân cơ bản” (ví dụ: tên, giới tính, số điện thoại) và “dữ liệu cá nhân nhạy cảm” (ví dụ: dữ liệu sinh trắc học, dữ liệu vị trí). Dự thảo cũng giới thiệu các khái niệm như “chuyên gia bảo vệ dữ liệu cá nhân” và “xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân”, từ đó nêu rõ hơn trách nhiệm của các tổ chức xử lý dữ liệu cá nhân.
Phạm vi mở rộng
Dự thảo Luật Bảo vệ dữ liệu cá nhân áp dụng cho tất cả các tổ chức, cá nhân và cơ quan trong và ngoài Việt Nam, cũng như các đơn vị nước ngoài xử lý dữ liệu cá nhân tại Việt Nam. Phạm vi này đảm bảo thông tin của chủ thể dữ liệu Việt Nam được bảo vệ ở cả trong nước và quốc tế.
Yêu cầu nghiêm ngặt hơn
Luật Bảo vệ dữ liệu cá nhân yêu cầu các bên kiểm soát và xử lý dữ liệu cá nhân phải có được sự đồng ý rõ ràng và có thông tin từ chủ thể dữ liệu, đặc biệt là đối với dữ liệu cá nhân nhạy cảm như hồ sơ sức khỏe hoặc dữ liệu sinh trắc học. Việc im lặng hoặc không phản hồi không thể được hiểu là đồng ý, củng cố cam kết của Việt Nam đối với các tiêu chuẩn bảo mật dữ liệu nghiêm ngặt. Việc chuyển dữ liệu xuyên biên giới cũng yêu cầu sự đồng ý rõ ràng theo khuôn khổ mới.
Đánh giá tác động bảo vệ dữ liệu và Đánh giá tác động chuyển dữ liệu
Các tổ chức sẽ được yêu cầu tiến hành Đánh giá tác động bảo vệ dữ liệu và Đánh giá tác động chuyển dữ liệu sáu tháng một lần hoặc bất cứ khi nào có thay đổi đáng kể trong các hoạt động xử lý dữ liệu. Điều này đảm bảo rằng các biện pháp bảo vệ dữ liệu liên tục được xem xét và cập nhật để đáp ứng các yêu cầu của quy định.
Nghĩa vụ đối với Doanh nghiệp
Luật Bảo vệ dữ liệu cá nhân áp dụng các yêu cầu nghiêm ngặt đối với doanh nghiệp trong việc chỉ định các phòng ban bảo vệ dữ liệu, có thể là nội bộ hoặc thông qua thuê ngoài. Các phòng này phải có ít nhất một chuyên gia bảo vệ dữ liệu cá nhân. Trong khi các doanh nghiệp siêu nhỏ, doanh nghiệp vừa và nhỏ và các công ty khởi nghiệp được miễn yêu cầu này trong hai năm đầu tiên, họ phải tuân thủ các nghĩa vụ khác trong cùng khung thời gian như các doanh nghiệp lớn hơn.
Không được phép bán dữ liệu
Dự thảo Luật Bảo vệ dữ liệu cá nhân nghiêm cấm việc bán dữ liệu cá nhân dưới mọi hình thức, củng cố nguyên tắc rằng dữ liệu cá nhân không phải là hàng hóa có thể giao dịch. Điều khoản này được kỳ vọng sẽ củng cố niềm tin của người tiêu dùng vào cách các doanh nghiệp xử lý thông tin nhạy cảm.
Thông báo vi phạm dữ liệu
Trong trường hợp vi phạm dữ liệu, các tổ chức phải thông báo cho chính quyền trong vòng 72 giờ. Quy tắc này phản ánh các tiêu chuẩn quốc tế và đảm bảo phản hồi kịp thời đối với các hành vi vi phạm tiềm ẩn về bảo mật dữ liệu cá nhân.
Cơ chế chứng nhận mới
Dự thảo luật giới thiệu một hệ thống chứng nhận chỉ định xếp hạng cho các doanh nghiệp dựa trên các hoạt động bảo vệ dữ liệu cá nhân của họ. Hệ thống này sẽ đóng vai trò như một hình thức “xếp hạng tín dụng”, cho phép các công ty chứng minh việc tuân thủ pháp luật và nâng cao uy tín của mình.
Quy định cụ thể theo ngành
- Tiếp thị: Các công ty cung cấp dịch vụ tiếp thị phải có được sự đồng ý rõ ràng từ khách hàng trước khi xử lý dữ liệu cá nhân của họ cho mục đích quảng cáo. Luật cho phép các chủ thể dữ liệu yêu cầu ngừng các hoạt động tiếp thị bằng dữ liệu của họ bất kỳ lúc nào.
- Dữ liệu tài chính và tín dụng: Luật Bảo vệ dữ liệu cá nhân đưa ra các quy tắc nghiêm ngặt đối với các tổ chức tài chính. Các tổ chức này không được chia sẻ dữ liệu tín dụng chưa được mã hóa hoặc thông tin tài chính cá nhân mà không có sự đồng ý. Các đánh giá tài chính phải tuân theo các hướng dẫn pháp lý cụ thể và các tổ chức bị cấm giao dịch hoặc chuyển giao thông tin tín dụng bất hợp pháp.
Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến sẽ được Quốc hội thông qua vào tháng 5 năm 2025. Dự thảo chưa đưa ra thời gian áp dụng để tuân thủ, ngoại trừ các doanh nghiệp siêu nhỏ, doanh nghiệp vừa và nhỏ và các công ty khởi nghiệp, được miễn việc chỉ định một bộ phận bảo vệ dữ liệu trong hai năm đầu tiên. Tất cả các nghĩa vụ khác phải được đáp ứng trước thời hạn là ngày 1 tháng 1 năm 2026, đảm bảo rằng các tổ chức có thời gian để thích ứng với khuôn khổ mới.
ASL Law là công ty luật độc lập và cung cấp đầy đủ dịch vụ được tín nhiệm cao của Việt Nam gồm các luật sư giàu kinh nghiệm và tài năng. ASL Law được Legal500, Asia Law, WTR và Asia Business Law Journal. xếp hạng là Công ty Luật hàng đầu tại Việt Nam. Có trụ sở tại Hà Nội và Thành phố Hồ Chí Minh, mục đích chính của ASL LAW là cung cấp lời tư vấn và giải pháp lý thiết thực, hiệu quả và hợp pháp nhất cho khách hàng trong nước và quốc tế. Nếu cần sự trợ giúp, Quý khách hàng có thể gửi email liên hệ tới [email protected].
Liên hệ với công ty luật ASL LAW để được hướng dẫn về luật doanh nghiệp, luật lao động, luật sở hữu trí tuệ, luật bất động sản:
BÀI VIẾT HỮU ÍCH LIÊN QUAN
