1. Địa chỉ IP có được coi là dữ liệu cá nhân không?

Trả lời: Có. Mặc dù một mình địa chỉ IP có thể không định danh trực tiếp một người, nhưng nó thuộc nhóm thông tin “giúp xác định một con người cụ thể”. Khi kết hợp với các dữ liệu khác như thời gian truy cập, lịch sử duyệt web, nó có thể dễ dàng truy ra danh tính người dùng. Do đó, địa chỉ IP được xem là dữ liệu cá nhân và cần được bảo vệ.

2. Dữ liệu của một pháp nhân (công ty) có phải là dữ liệu cá nhân không?

Trả lời: Không. Theo định nghĩa, dữ liệu cá nhân phải gắn liền với “một con người cụ thể”. Các thông tin của một tổ chức như tên công ty, mã số thuế, địa chỉ trụ sở không phải là dữ liệu cá nhân. Tuy nhiên, thông tin như email công việc có dạng “ten.nhanvien@tencongty.com” hoặc số điện thoại bàn của một cá nhân cụ thể tại công ty lại được xem là dữ liệu cá nhân.

3. Hình ảnh chụp đám đông tại nơi công cộng có chứa dữ liệu cá nhân không?

Trả lời: Có, nếu hình ảnh đó có thể nhận dạng được khuôn mặt của một cá nhân cụ thể. Theo Điều 32 Luật Bảo vệ dữ liệu cá nhân, việc ghi âm, ghi hình tại nơi công cộng để bảo vệ an ninh hoặc các hoạt động công cộng không xâm phạm danh dự, nhân phẩm thì không cần sự đồng ý, nhưng vẫn phải thông báo và việc xử lý dữ liệu thu được phải tuân thủ các quy định của pháp luật.

4. Doanh nghiệp thu thập “cookies” trên website có phải là thu thập dữ liệu cá nhân không?

Trả lời: Có. Cookies, đặc biệt là các loại dùng để theo dõi hành vi, sở thích của người dùng, được coi là dữ liệu cá nhân vì chúng “giúp xác định một con người cụ thể”. Điều 29 Luật Bảo vệ dữ liệu cá nhân quy định rõ tổ chức cung cấp dịch vụ phải cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ cookies, cũng như tùy chọn “không theo dõi”.

5. Thông tin về một người đã qua đời có còn là dữ liệu cá nhân không?

Trả lời: Có. Điều 19 Nghị định 13/2023/NĐ-CP quy định rõ việc xử lý dữ liệu cá nhân của người đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó. Điều này cho thấy thông tin của người đã qua đời vẫn được xem là dữ liệu cá nhân và cần được bảo vệ theo quy định.

Luật Bảo Vệ Dữ Liệu Cá Nhân: Toàn Cảnh Quy Định Mới

Luật Bảo vệ Dữ liệu cá nhân 91/2025/QH15 mang đến một khuôn khổ pháp lý toàn diện, đòi hỏi doanh nghiệp phải chủ động thay đổi để đảm bảo tuân thủ và nâng cao uy tín. Đồng hành cùng DPO.VN, doanh nghiệp sẽ có được giải pháp tối ưu để đáp ứng các quy định pháp luật về thông tin cá nhân, quản lý rủi ro và xây dựng niềm tin vững chắc với khách hàng.

Luật Bảo vệ Dữ liệu cá nhân 91/2025/QH15 mang lại những thay đổi đột phá nào so với Nghị định 13/2023/NĐ-CP?

Luật 91/2025/QH15 không chỉ luật hóa các quy định của Nghị định 13/2023/NĐ-CP mà còn tinh gọn các nguyên tắc, làm rõ định nghĩa, bổ sung các hành vi bị nghiêm cấm và đặc biệt là đưa ra các chế tài xử phạt nghiêm khắc hơn rất nhiều, bao gồm cả mức phạt dựa trên phần trăm doanh thu.

luat-bao-ve-du-lieu-ca-nhan-mang-lai-nhung-thay-doi-dot-pha-nao-so-voi-nghi-dinh-13 — Luật Bảo vệ Dữ liệu cá nhân 91/2025/QH15 mang lại những thay đổi đột phá nào so với Nghị định 13/2023/NĐ-CP?

Việc chuyển đổi từ một Nghị định sang một văn bản Luật cho thấy tầm quan trọng chiến lược của việc bảo vệ dữ liệu cá nhân trong bối cảnh an ninh mạng và phát triển kinh tế số tại Việt Nam. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, sẽ có hiệu lực từ ngày 01 tháng 01 năm 2026, tạo ra một hành lang pháp lý vững chắc, rõ ràng và có tính răn đe cao hơn. Doanh nghiệp cần nắm bắt những điểm khác biệt cốt lõi để xây dựng lộ trình tuân thủ hiệu quả.

Hạng Mục	Nghị định 13/2023/NĐ-CP	Luật Bảo vệ Dữ liệu cá nhân 91/2025/QH15
Nguyên tắc bảo vệ	Quy định 8 nguyên tắc chi tiết (Điều 3).	Tinh gọn còn 6 nguyên tắc, lồng ghép các nội dung nhưng vẫn đảm bảo tính bao quát và chặt chẽ (Điều 3).
Hành vi bị nghiêm cấm	Liệt kê 5 nhóm hành vi (Điều 8).	Mở rộng thành 7 nhóm hành vi, bổ sung rõ các hành vi như: mua, bán dữ liệu cá nhân; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu (Điều 7).
Chế tài xử phạt	Chỉ quy định chung về xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự (Điều 4).	Quy định mức phạt tiền tối đa rất cụ thể và nghiêm khắc: 10 lần khoản thu bất hợp pháp (mua bán dữ liệu), 5% doanh thu năm trước (chuyển dữ liệu xuyên biên giới), và 03 tỷ đồng cho các vi phạm khác (Điều 8).
Miễn trừ áp dụng	Miễn trừ chỉ định nhân sự/bộ phận BVDLCN trong 02 năm đầu cho DN siêu nhỏ, nhỏ, vừa, khởi nghiệp (Điều 43).	Miễn trừ quy định về Đánh giá tác động và chỉ định nhân sự/bộ phận BVDLCN trong 05 năm cho DN nhỏ, khởi nghiệp. Hộ kinh doanh, DN siêu nhỏ được miễn trừ hoàn toàn (trừ các trường hợp có rủi ro cao) (Điều 38).
Quy định chuyển tiếp	Không có.	Công nhận sự đồng ý và các hồ sơ đánh giá tác động đã nộp theo Nghị định 13 trước khi Luật có hiệu lực, giúp doanh nghiệp giảm bớt gánh nặng thủ tục (Điều 39).

Lộ trình áp dụng Luật Bảo vệ Dữ liệu cá nhân 2025 và các quy định chuyển tiếp quan trọng là gì?

Luật sẽ chính thức có hiệu lực từ ngày 01/01/2026. Luật có các quy định chuyển tiếp thông minh giúp doanh nghiệp đã tuân thủ Nghị định 13 không phải làm lại thủ tục từ đầu và có các miễn trừ hợp lý cho doanh nghiệp nhỏ và siêu nhỏ.

Việc nắm rõ lộ trình và các quy định chuyển tiếp là yếu tố then chốt giúp doanh nghiệp lên kế hoạch tuân thủ một cách chủ động và hiệu quả. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã tính đến yếu tố này để tạo điều kiện thuận lợi cho quá trình chuyển đổi.

1. Thời điểm hiệu lực: Điều 38 của Luật quy định rõ, Luật này sẽ có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026. Từ thời điểm này, mọi hoạt động xử lý dữ liệu cá nhân tại Việt Nam sẽ phải tuân thủ theo các quy định của Luật.

2. Quy định chuyển tiếp (Điều 39): Đây là một điểm sáng, giúp giảm gánh nặng hành chính cho các doanh nghiệp đã nỗ lực tuân thủ Nghị định 13. Cụ thể:

Công nhận sự đồng ý đã có: Sự đồng ý của chủ thể dữ liệu được thu thập hợp lệ theo Nghị định 13 trước ngày 01/01/2026 sẽ tiếp tục có giá trị mà không cần phải xin lại.
Công nhận hồ sơ đã nộp: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đã nộp cho cơ quan chuyên trách (Cục A05) theo Nghị định 13 sẽ được tiếp tục sử dụng. Doanh nghiệp chỉ cần cập nhật các hồ sơ này theo quy định của Luật mới khi có thay đổi.

3. Miễn trừ cho doanh nghiệp nhỏ, siêu nhỏ và khởi nghiệp (Điều 38): Nhằm hỗ trợ các doanh nghiệp có nguồn lực hạn chế, Luật quy định:

Doanh nghiệp nhỏ và khởi nghiệp: Được lựa chọn không thực hiện quy định về lập Hồ sơ đánh giá tác động (Điều 21, 22) và chỉ định bộ phận/nhân sự BVDLCN (Điều 33) trong thời gian 05 năm kể từ ngày Luật có hiệu lực.
Hộ kinh doanh và doanh nghiệp siêu nhỏ: Được miễn trừ hoàn toàn các quy định trên.
Lưu ý quan trọng: Việc miễn trừ không áp dụng cho các doanh nghiệp, hộ kinh doanh có hoạt động kinh doanh dịch vụ xử lý dữ liệu cá nhân, xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu của số lượng lớn chủ thể.

Doanh nghiệp sẽ đối mặt với các chế tài xử phạt nghiêm khắc như thế nào khi vi phạm Luật mới?

Luật 91/2025/QH15 thiết lập các mức phạt vi phạm hành chính có tính răn đe rất cao, có thể lên đến 5% tổng doanh thu của năm trước liền kề đối với vi phạm chuyển dữ liệu xuyên biên giới, và mức phạt tối đa 03 tỷ đồng cho các vi phạm khác, bên cạnh trách nhiệm hình sự và bồi thường thiệt hại.

Một trong những thay đổi mang tính cách mạng nhất của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 là việc quy định cụ thể và nâng cao đáng kể các chế tài xử phạt. Điều này phản ánh quyết tâm của nhà nước trong việc bảo vệ quyền riêng tư của công dân và tạo ra một môi trường kinh doanh số an toàn, minh bạch.

Điều 8 của Luật quy định chi tiết các mức phạt tiền tối đa trong xử phạt vi phạm hành chính, áp dụng đối với tổ chức (mức phạt đối với cá nhân bằng một nửa):

Đối với hành vi mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa có thể lên tới 10 lần khoản thu có được từ hành vi vi phạm. Đây là một quy định thông minh, đánh trực tiếp vào động cơ kinh tế của hành vi vi phạm, đảm bảo rằng lợi ích thu được từ việc vi phạm sẽ không thể bù đắp cho khoản phạt phải chịu.
Đối với vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa là 5% tổng doanh thu của năm trước liền kề của tổ chức. Đây là mức phạt tương đồng với các quy định quốc tế nghiêm ngặt như GDPR của Châu Âu, có khả năng tác động rất lớn đến tài chính của các tập đoàn, công ty công nghệ lớn.
Đối với các hành vi vi phạm khác: Mức phạt tiền tối đa là 03 tỷ đồng.

Ngoài các chế tài hành chính, doanh nghiệp và cá nhân vi phạm còn có thể bị truy cứu trách nhiệm hình sự và phải bồi thường thiệt hại cho chủ thể dữ liệu theo quy định của pháp luật dân sự. Rõ ràng, rủi ro pháp lý và tài chính từ việc không tuân thủ đã tăng lên đáng kể, buộc các doanh nghiệp phải xem xét lại chiến lược quản trị dữ liệu của mình một cách nghiêm túc.

Làm thế nào để doanh nghiệp xây dựng một chiến lược tuân thủ toàn diện theo Luật Bảo vệ Dữ liệu cá nhân 2025?

Một chiến lược tuân thủ hiệu quả đòi hỏi doanh nghiệp phải xây dựng chính sách nội bộ chặt chẽ, thực hiện nghiêm túc việc đánh giá tác động, quản lý hoạt động chuyển dữ liệu xuyên biên giới và đào tạo nhận thức cho toàn bộ nhân viên.

Tuân thủ không chỉ là việc hoàn thành các thủ tục hành chính, mà là việc tích hợp các nguyên tắc bảo vệ dữ liệu vào văn hóa và mọi hoạt động của doanh nghiệp. Một cách tiếp cận chủ động và có hệ thống sẽ giúp doanh nghiệp không chỉ tránh được rủi ro mà còn biến việc tuân thủ thành một lợi thế cạnh tranh.

Các bước cốt lõi để xây dựng Chính sách bảo vệ dữ liệu cá nhân nội bộ là gì?

Doanh nghiệp cần bắt đầu bằng việc chỉ định người phụ trách, rà soát và lập bản đồ luồng dữ liệu, xây dựng các quy trình cụ thể cho từng hoạt động xử lý và thiết lập cơ chế để đáp ứng các quyền của chủ thể dữ liệu.

Xây dựng một chính sách bảo vệ dữ liệu cá nhân vững chắc là nền tảng của mọi nỗ lực tuân thủ. DPO.VN khuyến nghị một quy trình gồm các bước sau:

Phân công Trách nhiệm (Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025): Chỉ định một cá nhân hoặc một bộ phận chuyên trách (DPO) chịu trách nhiệm giám sát việc tuân thủ. Đây là yêu cầu bắt buộc đối với các doanh nghiệp xử lý dữ liệu nhạy cảm hoặc quy mô lớn.
Rà soát và Lập bản đồ Dữ liệu (Data Mapping): Xác định tất cả các loại dữ liệu cá nhân mà doanh nghiệp đang thu thập, mục đích thu thập, nơi lưu trữ, ai có quyền truy cập và thời gian lưu trữ.
Xây dựng Quy trình: Lập thành văn bản các quy trình cho từng giai đoạn của vòng đời dữ liệu: thu thập (đảm bảo có sự đồng ý của chủ thể dữ liệu hợp lệ), sử dụng, lưu trữ, chia sẻ và hủy bỏ.
Tích hợp các Biện pháp Bảo mật (Điều 26, 27, 28 Nghị định 13/2023/NĐ-CP): Chính sách phải nêu rõ các biện pháp bảo mật cả về quản lý (đào tạo, kiểm soát truy cập) và kỹ thuật (mã hóa, tường lửa) được áp dụng.
Quy trình Đáp ứng Quyền của Chủ thể dữ liệu (Điều 9 Nghị định 13/2023/NĐ-CP): Thiết lập một kênh và quy trình rõ ràng để tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu (yêu cầu truy cập, chỉnh sửa, xóa dữ liệu…).
Kế hoạch Ứng phó Sự cố (Điều 23 Nghị định 13/2023/NĐ-CP): Xây dựng kế hoạch hành động chi tiết khi xảy ra vi phạm dữ liệu, bao gồm các bước xác định, ngăn chặn, khắc phục và thông báo cho cơ quan chức năng theo Mẫu số 03a hoặc Mẫu số 03b.

Khi nào doanh nghiệp bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Theo quy định, Bên Kiểm soát và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu trữ Hồ sơ đánh giá tác động kể từ khi bắt đầu xử lý dữ liệu và phải nộp cho Cục An ninh mạng (A05) trong vòng 60 ngày.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) là một nghĩa vụ pháp lý quan trọng và là công cụ quản trị rủi ro hiệu quả.

Theo quy định hiện hành (Điều 24 Nghị định 13/2023/NĐ-CP):

Đối tượng phải lập: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. Bên Xử lý dữ liệu cá nhân cũng phải lập hồ sơ này nếu thực hiện theo hợp đồng.
Thời điểm thực hiện: Lập và lưu giữ từ thời điểm bắt đầu xử lý dữ liệu.
Nghĩa vụ nộp hồ sơ: Gửi 01 bản chính tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày kể từ ngày tiến hành xử lý.
Biểu mẫu áp dụng: Doanh nghiệp sử dụng Mẫu số 04a (cho tổ chức) hoặc Mẫu số 04b (cho cá nhân) để thông báo nộp hồ sơ, và Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, hoặc Mẫu Đ24-DLCN-03 cho nội dung chi tiết của hồ sơ.

Theo Luật mới 2025 (Điều 21, 22): Yêu cầu này được duy trì. Một điểm mới quan trọng là hồ sơ sẽ được thực hiện 01 lần cho suốt quá trình hoạt động và chỉ cần cập nhật định kỳ 06 tháng hoặc khi có thay đổi lớn. Điều này giúp giảm bớt gánh nặng hành chính so với việc phải lập hồ sơ cho từng hoạt động xử lý riêng lẻ.

Quy trình và yêu cầu đối với việc chuyển dữ liệu cá nhân ra nước ngoài được quy định ra sao?

Doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gửi cho Cục A05 trong vòng 60 ngày kể từ ngày chuyển, và thông báo sau khi chuyển thành công. Yêu cầu cốt lõi là phải có sự đồng ý của chủ thể dữ liệu và văn bản ràng buộc trách nhiệm giữa các bên.

Với xu thế toàn cầu hóa, việc chuyển dữ liệu cá nhân ra nước ngoài là hoạt động phổ biến, nhưng cũng tiềm ẩn nhiều rủi ro. Pháp luật Việt Nam quy định rất chặt chẽ về hoạt động này.

Quy trình theo Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025:

Lập Hồ sơ đánh giá tác động: Trước khi chuyển dữ liệu, Bên chuyển dữ liệu phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Hồ sơ này phải bao gồm các nội dung chính như thông tin các bên, mục đích xử lý, loại dữ liệu, biện pháp bảo vệ, đánh giá rủi ro, sự đồng ý của chủ thể dữ liệu và văn bản ràng buộc trách nhiệm.
Nộp hồ sơ cho cơ quan chức năng: Gửi 01 bản chính Hồ sơ (sử dụng Mẫu Đ25-DLCN-04) kèm theo thông báo (Mẫu số 06a cho tổ chức hoặc Mẫu số 06b cho cá nhân) đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 60 ngày kể từ ngày tiến hành hoạt động.
Thông báo sau khi chuyển thành công: Sau khi hoàn tất việc chuyển dữ liệu, phải có văn bản thông báo cho Cục A05.
Cập nhật hồ sơ: Khi có thay đổi, doanh nghiệp phải cập nhật hồ sơ (sử dụng Mẫu số 05a hoặc Mẫu số 05b) và gửi lại cho cơ quan chức năng.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến là doanh nghiệp cho rằng việc sử dụng dịch vụ lưu trữ đám mây của các nhà cung cấp nước ngoài (như AWS, Google Cloud) không phải là chuyển dữ liệu xuyên biên giới. Theo định nghĩa tại Điều 2.14 Nghị định 13/2023/NĐ-CP và Điều 20.1.c Luật Bảo vệ dữ liệu cá nhân 2025, đây rõ ràng là một hình thức chuyển dữ liệu và phải tuân thủ đầy đủ các quy trình nêu trên, trừ trường hợp được miễn trừ theo luật mới.

Các hành vi nào bị nghiêm cấm tuyệt đối trong hoạt động xử lý dữ liệu cá nhân theo quy định mới?

Luật mới nghiêm cấm các hành vi xử lý dữ liệu trái phép, đặc biệt là mua bán, chiếm đoạt, cố ý làm lộ dữ liệu cá nhân, và sử dụng dữ liệu để chống phá Nhà nước hoặc xâm phạm an ninh quốc gia, trật tự xã hội.

Để tạo ra một môi trường số an toàn, cả Nghị định 13 (Điều 8) và Luật 91/2025/QH15 (Điều 7) đều đưa ra một danh sách các hành vi bị nghiêm cấm. Việc hiểu rõ những lằn ranh đỏ này là điều kiện tiên quyết để doanh nghiệp hoạt động đúng pháp luật.

Xử lý dữ liệu cá nhân trái quy định của pháp luật: Đây là điều cấm bao trùm, yêu cầu mọi hoạt động phải dựa trên cơ sở pháp lý vững chắc.
Xử lý dữ liệu cho mục đích xâm phạm an ninh quốc gia: Tuyệt đối cấm sử dụng dữ liệu để tạo ra thông tin nhằm chống lại Nhà nước, gây ảnh hưởng tới an ninh quốc gia, trật tự xã hội.
Cản trở hoạt động bảo vệ dữ liệu: Cấm mọi hành vi cản trở hoạt động của cơ quan có thẩm quyền trong việc thực thi pháp luật về bảo vệ dữ liệu.
Lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật: Ngăn chặn việc lạm dụng các quy định để thực hiện các hành vi bất hợp pháp khác.
Mua, bán dữ liệu cá nhân trái phép: Luật 91/2025/QH15 nhấn mạnh việc mua bán dữ liệu cá nhân là hành vi bị nghiêm cấm, trừ một số trường hợp đặc biệt do luật khác quy định.
Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân: Đây là hành vi mới được bổ sung trong Luật, thể hiện sự nghiêm khắc đối với các sự cố rò rỉ dữ liệu.

Việc tuân thủ Luật Bảo vệ Dữ liệu cá nhân 2025 không chỉ là một nghĩa vụ pháp lý mà còn là một chiến lược kinh doanh thông minh. Doanh nghiệp chủ động xây dựng một chương trình tuân thủ vững chắc sẽ gặt hái được niềm tin của khách hàng, nâng cao uy tín thương hiệu và tạo dựng nền tảng cho sự phát triển bền vững trong kỷ nguyên số.

Các Câu Hỏi Thường Gặp Về Luật Bảo vệ Dữ liệu cá nhân 2025

1. Sự khác biệt chính giữa Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu là gì?

Trả lời: Theo Điều 2 của cả Nghị định 13 và Luật 91/2025/QH15, Bên Kiểm soát dữ liệu là tổ chức/cá nhân quyết định mục đích và phương tiện xử lý dữ liệu (ví dụ: một công ty thương mại điện tử). Trong khi đó, Bên Xử lý dữ liệu là tổ chức/cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát thông qua hợp đồng (ví dụ: một công ty dịch vụ giao hàng hoặc một nhà cung cấp dịch vụ email marketing). Bên Kiểm soát chịu trách nhiệm chính trước chủ thể dữ liệu.

2. Dữ liệu cá nhân sau khi khử nhận dạng có còn được coi là dữ liệu cá nhân không?

Trả lời: Không. Điều 2.1 Luật 91/2025/QH15 quy định rõ: Dữ liệu cá nhân sau khi khử nhận dạng (quá trình thay đổi hoặc xóa thông tin để không thể xác định được một con người cụ thể) thì không còn là dữ liệu cá nhân. Điều này mở ra cơ hội cho doanh nghiệp sử dụng các bộ dữ liệu đã được khử nhận dạng cho mục đích phân tích, nghiên cứu mà không bị ràng buộc bởi các quy định nghiêm ngặt của Luật.

3. Doanh nghiệp có phải xin phép lại khách hàng nếu đã có sự đồng ý theo Nghị định 13 không?

Trả lời: Không. Điều 39.1 Luật 91/2025/QH15 có quy định chuyển tiếp rất thuận lợi cho doanh nghiệp. Theo đó, sự đồng ý của chủ thể dữ liệu đã được thu thập hợp lệ theo các quy định của Nghị định 13 trước ngày 01/01/2026 sẽ tiếp tục có hiệu lực, doanh nghiệp không cần phải thực hiện thủ tục xin đồng ý lại.

4. Cơ quan nào chịu trách nhiệm chính trong việc quản lý nhà nước về bảo vệ dữ liệu cá nhân?

Trả lời: Điều 36 Luật 91/2025/QH15 quy định Chính phủ thống nhất quản lý nhà nước. Bộ Công an là cơ quan đầu mối, chịu trách nhiệm trước Chính phủ. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an (theo Điều 29 Nghị định 13).

5. Việc áp dụng các biện pháp kỹ thuật như mã hóa có phải là bắt buộc không?

Trả lời: Điều 12 Luật 91/2025/QH15 quy định, đối với dữ liệu cá nhân là bí mật nhà nước thì việc mã hóa là bắt buộc theo pháp luật về cơ yếu. Đối với các loại dữ liệu cá nhân khác, cơ quan, tổ chức, cá nhân tự quyết định việc mã hóa cho phù hợp. Tuy nhiên, mã hóa là một trong những biện pháp kỹ thuật quan trọng và được khuyến nghị mạnh mẽ để đảm bảo nguyên tắc bảo mật, đặc biệt đối với dữ liệu cá nhân nhạy cảm.

Tìm Hiểu Thêm Về Bảo Vệ Dữ Liệu Cá Nhân Cùng DPO.VN

Để xây dựng một chiến lược tuân thủ pháp luật về bảo vệ dữ liệu cá nhân hiệu quả, đảm bảo an toàn thông tin và uy tín cho doanh nghiệp, hãy liên hệ với chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự đồng hành của Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp toàn diện và chuyên nghiệp nhất.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

Cơ sở dữ liệu quốc gia về văn bản pháp luật.
Cổng Thông tin điện tử Chính phủ.
Cổng Thông tin điện tử Bộ Công an.
Tổng quan về GDPR: Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu.
Hiệp hội Quốc tế các Chuyên gia về Quyền riêng tư (IAPP).