Bài viết pháp lý

Luật Bảo Vệ Dữ Liệu Cá Nhân 2025: Doanh Nghiệp Cần Làm Gì Để Tuân Thủ?

 

  1. Tổng quan về Luật Bảo vệ Dữ liệu Cá nhân 2025

Ngày 26/6/2025, Quốc hội nước Cộng hòa Xã hội Chủ nghĩa Việt Nam đã chính thức thông qua Luật Bảo vệ Dữ liệu Cá nhân 2025 (Luật số 91/2025/QH15), có hiệu lực từ 01/01/2026.
Luật này kế thừa và nâng cấp các quy định từ Nghị định 13/2023/NĐ-CP, tạo thành khung pháp lý thống nhất, chặt chẽ và toàn diện hơn về việc bảo vệ dữ liệu cá nhân.

Theo đó, mọi doanh nghiệp — dù quy mô nhỏ hay lớn — đều phải tuân thủ quy định về thu thập, lưu trữ, xử lý và chia sẻ dữ liệu cá nhân.
Dữ liệu cá nhân của người lao động, khách hàng, đối tác đều được xem là đối tượng được bảo vệ.
Nếu doanh nghiệp vi phạm, có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự hoặc buộc bồi thường thiệt hại.

 

  1. Cấm tuyệt đối hành vi mua bán dữ liệu cá nhân

Luật bảo vệ dữ liệu cá nhân 2025 quy định rõ:

Mọi hành vi mua, bán dữ liệu cá nhân (trừ trường hợp pháp luật có quy định khác) đều bị nghiêm cấm.

Mức phạt vi phạm có thể lên tới:

  • 10 lần khoản thu từ hành vi vi phạm, hoặc
  • Nếu không xác định được khoản thu, áp dụng mức phạt cố định:
    • Tối đa 3 tỷ đồng đối với tổ chức;
    • Tối đa 1,5 tỷ đồng đối với cá nhân.

Ngoài phạt tiền, doanh nghiệp vi phạm có thể:

  • Bị truy cứu trách nhiệm hình sự nếu gây hậu quả nghiêm trọng;
  • Buộc bồi thường cho chủ thể dữ liệu bị ảnh hưởng;
  • Chịu biện pháp khắc phục hậu quả hoặc phạt bổ sung.

 

  1. Phạt đến 5% doanh thu năm trước đối với hành vi xâm phạm dữ liệu cá nhân

Một điểm mới đáng chú ý trong Luật bảo vệ dữ liệu cá nhân 2025mức phạt theo doanh thu.
Cụ thể, với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái quy định, doanh nghiệp có thể bị phạt đến 5% doanh thu năm liền kề.

Ngoài ra:

  • Mua, bán dữ liệu cá nhân: phạt tối đa 10 lần khoản thu;
  • Vi phạm khác trong lĩnh vực dữ liệu cá nhân: phạt đến 3 tỷ đồng;
  • Cá nhân vi phạm: phạt tối đa bằng một nửa mức phạt của tổ chức.

 

  1. Quyền yêu cầu xóa và chỉnh sửa dữ liệu cá nhân

Theo Điều 13 Luật bảo vệ dữ liệu cá nhân 2025, mỗi cá nhân có quyền yêu cầu xóa, hủy hoặc chỉnh sửa dữ liệu cá nhân trong các trường hợp:

  • Mục đích xử lý đã hoàn thành hoặc hết thời hạn lưu trữ;
  • Cá nhân yêu cầu xóa dữ liệu và chấp nhận rủi ro;
  • Có quyết định từ cơ quan nhà nước có thẩm quyền;
  • Theo thỏa thuận giữa các bên hoặc quy định khác của pháp luật.

Doanh nghiệp phải xóa dữ liệu một cách an toàn, ngăn việc khôi phục trái phép, và nếu không thể xóa phải thông báo lý do bằng văn bản cho người yêu cầu.

 

  1. Quy định về thu thập dữ liệu cá nhân trong tuyển dụng

Nhà tuyển dụng chỉ được thu thập dữ liệu cá nhân của ứng viên phục vụ mục đích tuyển dụng.
Cụ thể:

  • Chỉ yêu cầu thông tin liên quan trực tiếp đến công việc;
  • Không được thu thập quá mức hoặc sử dụng sai mục đích;
  • Nếu sử dụng cho mục đích khác, phải được ứng viên đồng ý.

Nếu ứng viên không được tuyển chọn, doanh nghiệp phải xóa hoặc hủy toàn bộ thông tin cá nhân, trừ khi hai bên có thỏa thuận khác.

 

  1. Xóa dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng

Sau khi chấm dứt hợp đồng lao động, doanh nghiệp chỉ được lưu giữ dữ liệu cá nhân của người lao động trong phạm vi:

  • Theo quy định pháp luật (ví dụ: lưu trữ hồ sơ bảo hiểm, thuế), hoặc
  • Theo thỏa thuận hợp pháp giữa hai bên.

Doanh nghiệp phải xóa, hủy dữ liệu sau khi chấm dứt quan hệ lao động, trừ khi có lý do chính đáng.
Việc áp dụng công nghệ như GPS, camera, phần mềm chấm công cũng phải có sự đồng ý rõ ràng của người lao động, và không được sử dụng dữ liệu đó cho mục đích khác.

 

  1. Trách nhiệm của doanh nghiệp trong đánh giá tác động xử lý dữ liệu cá nhân

Doanh nghiệp là bên kiểm soát và xử lý dữ liệu cá nhân, phải:

  • Lập hồ sơ đánh giá tác động việc xử lý dữ liệu cá nhân;
  • Lưu trữ hồ sơgửi 01 bản cho Bộ Công an (Cục An ninh mạng) trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu;
  • Cập nhật hồ sơ định kỳ 6 tháng/lần hoặc ngay khi có thay đổi lớn.

Hồ sơ này được quy định chi tiết tại Nghị định 13/2023/NĐ-CP, và phải luôn sẵn sàng phục vụ kiểm tra, đánh giá.

 

  1. Kết luận – MLT Lawyers đồng hành cùng doanh nghiệp tuân thủ Luật Bảo vệ Dữ liệu Cá nhân

Việc tuân thủ Luật Bảo vệ Dữ liệu Cá nhân 2025 không chỉ giúp doanh nghiệp tránh rủi ro pháp lý mà còn tăng uy tín, bảo vệ danh tiếng thương hiệuxây dựng niềm tin với khách hàng, đối tác.

MLT Lawyers với kinh nghiệm tư vấn pháp lý cho doanh nghiệp trong và ngoài nước, sẵn sàng hỗ trợ:

  • Rà soát, đánh giá tuân thủ luật bảo vệ dữ liệu cá nhân;
  • Soạn thảo quy chế nội bộ và hợp đồng xử lý dữ liệu;
  • Hỗ trợ lập hồ sơ đánh giá tác động và nộp cho Bộ Công an.

📞 Liên hệ MLT Lawyers để được tư vấn chi tiết và giải pháp phù hợp nhất cho doanh nghiệp của bạn. Điện thoại 0286.2727.987 hoặc 0919.211.048 hoặc qua email: [email protected]

 

 

Copy Protected by Chetan's WP-Copyprotect.
Call us Send us an email Whatsapp Follow on facebook