+84 98 960 5684 (call/zalo)
English
You can use WPML or Polylang and their language switchers in this area.
Menu

Những Điểm Mới Nổi Bật Của Luật Bảo Vệ Dữ Liệu Cá Nhân

Leave a Comment on Những Điểm Mới Nổi Bật Của Luật Bảo Vệ Dữ Liệu Cá Nhân

KEY TAKEAWAYS OF THE PERSONAL DATA PROTECTION LAW

Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN) được Quốc hội thông qua vào ngày 26/06/2025 và sẽ có hiệu lực từ ngày 01/01/2026. Đây là lần đầu tiên Việt Nam có một đạo luật toàn diện về bảo vệ dữ liệu cá nhân, thay thế Nghị định 13/2023/NĐ-CP (“Nghị định 13”). Dưới đây là những điểm mới nổi bật và đáng chú ý của Luật BVDLCN so với Nghị định 13:
The Personal Data Protection Law (PDPL) was passed by the National Assembly on June 26, 2025 and will become effective on January 1, 2026. This Act constitutes the first-ever comprehensive law in the Vietnam’s legal system governing personal data protection, replacing Decree No. 13/2023/ND-CP (“Decree 13”). Below are the key and notable changes introduced by the PDPL compared to Decree 13:

1. Đồng ý của chủ thể dữ liệu: Quy định chặt chẽ và rõ ràng hơn
1. Consent of the Data Subject: Stricter and Clearer

Luật mới quy định rằng việc thu thập và xử lý dữ liệu cá nhân phải dựa trên sự đồng ý rõ ràng, cụ thể, tự nguyện và không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận. Việc sử dụng các phương tiện như tích sẵn ô đồng ý (pre-ticked boxes) hoặc ngụ ý im lặng không còn được coi là hợp lệ. Đặc biệt, Luật yêu cầu đơn vị xử lý dữ liệu phải lưu trữ hồ sơ chứng minh sự đồng ý và cung cấp thông tin đầy đủ về mục đích, phạm vi, thời gian lưu trữ, và bên thứ ba liên quan trước khi xử lý dữ liệu.
PDPL mandates that the collection and processing of personal data must be based on explicit, specific, voluntary consent, without any requirements to agree on purposes unrelated to the agreed content. The use of pre-ticked boxes or implied consent through silence is no longer deemed valid. PDPL requires data processors to keep records proving consent and to provide comprehensive information regarding the purpose, scope, retention period, and any third parties involved prior to data processing.

2. Quyền và nghĩa vụ của chủ thể dữ liệu: Mở rộng và thực thi mạnh mẽ
2. Rights and Obligations of the Data Subject: Expanded and Strongly Enforced

Bên cạnh các quyền cơ bản như được thông báo, truy cập, chỉnh sửa, rút lại sự đồng ý, Luật 2025 bổ sung quyền yêu cầu hạn chế xử lý dữ liệu, quyền phản đối xử lý tự động, và quyền khiếu nại về quyết định tự động ảnh hưởng nghiêm trọng đến quyền lợi cá nhân. Chủ thể dữ liệu có quyền yêu cầu tổ chức xử lý dữ liệu cung cấp bản sao dữ liệu, thông tin về việc chuyển giao cho bên thứ ba và thời điểm dữ liệu bị xóa.
In addition to fundamental rights such as the right to be informed, access, rectify, and withdraw consent, PDPL introduces the right to request restrictions on data processing, the right to object to automated processing, and the right to lodge complaints against automated decisions significantly affecting individual rights. Data subjects may also request a copy of their data, information on data transfers to third parties, and details on data deletion timelines from data processors.

Bảo vệ dữ liệu cá nhân – Ảnh minh hoạ
Personal data protection – Image

3. Đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và xử lý dữ liệu cá nhân: đơn giản nhưng hiệu quả
3. Cross-Border Data Transfers Impact Assessment (“TIA”) and Personal Data Processing Impact Assessment (“DPIA”): Simplified yet Effective

Luật quy định việc đánh giá tác động về xử lý và chuyển dữ liệu cá nhân xuyên biên giới chỉ cần thực hiện một lần cho toàn bộ thời gian hoạt động, nhưng phải được cập nhật định kỳ 6 tháng một lần hoặc ngay khi có thay đổi. Điểm mới quan trọng là bãi bỏ nghĩa vụ gửi thông báo về kết quả chuyển dữ liệu ra nước ngoài cho Bộ Công an như quy định cũ tại Nghị định 13. Ngoài ra, Luật còn bổ sung các trường hợp miễn trừ đánh giá tác động, giúp đơn giản hóa quy trình cho các doanh nghiệp có mô hình dữ liệu rõ ràng và minh bạch.
PDPL stipulates that DPIAs and TIAs are required only once for the entire term of operations but must be updated every six months or upon any changes. A significant change is the elimination of the obligation to notify the Ministry of Public Security of the results of cross-border data transfers, as previously required under Decree 13. In addition, PDPL also introduces exemptions from impact assessments, simplifying procedures for businesses with transparent and clear data models.

4. Các lĩnh vực đặc thù: Tăng cường giám sát và bảo vệ dữ liệu cá nhân
4. Sector-Specific Provisions: Enhanced Oversight and Protection of Personal Data

(a) Trong tuyển dụng và quản lý nhân sự: Nhà tuyển dụng phải xóa, hủy thông tin cá nhân của ứng viên nếu không được tuyển dụng, trừ khi có thỏa thuận khác. Tương tự, dữ liệu của người lao động phải được xóa sau khi chấm dứt hợp đồng, nếu không có yêu cầu pháp lý giữ lại.
(a) Recruitment and Human Resources: Employers must delete or destroy personal data of unsuccessful job applicants unless otherwise agreed. Likewise, employee data must be erased upon contract termination, unless retention is legally required.

(b) Đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm: Cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, bảo hiểm nhân thọ, trừ trường hợp      có yêu cầu bằng văn bản của chủ thể dữ liệu hoặc trường hợp được xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu.
(b) Healthcare and Insurance: Entities in the healthcare and insurance sectors are prohibited from sharing personal data with third-party service providers unless explicitly authorized by the data subject in writing or if consent is not required by law.

(c) Trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng: Việc chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng phải được sự đồng ý của chủ thể dữ liệu; tổ chức tín dụng, công ty thông tin tín dụng phải thông báo cho chủ thể dữ liệu trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.
(c) Finance and Banking: Activities such as credit scoring, credit rating, or assessing creditworthiness require prior consent from data subjects. Credit institutions and information companies must notify data subjects in the event of data breaches involving bank accounts, financial data, or credit information

(d) Trong kinh doanh dịch vụ quảng cáo: Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; cung cấp phương thức cho khách hàng để có thể từ chối nhận các thông tin quảng cáo. Ngoài ra, tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để tổ chức, cá nhân khác thay mặt mình thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân.
(d) Advertising Services: Processing personal data for advertising purposes requires explicit customer consent, with full disclosure regarding the content, method, form, and frequency of promotional activities. Customers must be allowed to opt out. Full delegation of advertising services involving personal data to third parties is prohibited.

(e) Đối với nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến: Từ ngày 01/01/2026, các nền tảng không được yêu cầu hình ảnh hoặc giấy tờ tùy thân làm yếu tố xác thực nếu không có căn cứ rõ ràng. Đồng thời, họ phải cung cấp lựa chọn “không theo dõi” (Do Not Track) và cho phép người dùng từ chối cookies hoặc các hành vi thu thập dữ liệu tương tự.
(e) Social Media and Online Communication: From January 1, 2026, platforms may not require users to provide identity documents or images for verification without lawful justification. They must offer a “Do Not Track” option and allow users to reject cookies or similar tracking mechanisms.

Luật Bảo vệ dữ liệu cá nhân được mong đợi sẽ mang lại nhiều sự thay đổi quan trọng trong việc quản lý và bảo vệ dữ liệu cá nhân tại Việt Nam. Với đội ngũ có trình độ chuyên môn cao trong lĩnh vực bảo vệ dữ liệu cá nhân, VDD LAWYERS tự tin có thể hỗ trợ, tư vấn toàn diện các vấn đề pháp lý về dữ liệu cá nhân cho khách hàng là doanh nghiệp, cá nhân.
The PDPL is expected to bring significant changes to the management and protection of personal data in Vietnam. With a team of highly qualified experts in personal data protection, VDD LAWYERS is pleased to provide comprehensive legal advice and support on personal data matters to businesses and individuals.

📩 Liên hệ ngay để được tư vấn kịp thời:
📩 Contact us for further legal advice

🌐 Website: https://vddlawyers.com
📧 Email: duc.vo@vdd.vn
📞 Hotline: +84 989 605 684

Tags: , , ,
VDD Lawyers

VDD Lawyers

View articles

You might be interested in …

Một hợp đồng, hai bản giá: Tranh chấp vì ‘chiêu lách thuế’ và bài học đắt giá

Read More

Nhà đầu tư bị rút vốn vô cớ: Khi không có thỏa thuận bằng văn bản, ai đúng – ai sai?

Read More

🏛️ Mở Rộng Thẩm Quyền Cấp Giấy Chứng Nhận Quyền Sử Dụng Đất cho Uỷ Ban Nhân Dân Cấp Xã từ 01/07/2025 – Người Sử Dụng Đất Cần Lưu Ý Gì?

Read More

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Close Menu