Quy định chuyển tiếp từ Nghị định 13 sang Luật mới 2025

Quy định chuyển tiếp từ Nghị định 13 sang Luật mới 2025 là chìa khóa giúp doanh nghiệp điều hướng lộ trình tuân thủ một cách liền mạch, đảm bảo các hoạt động xử lý dữ liệu hiện tại được kế thừa và phát triển phù hợp. Để hành trình này thuận lợi, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp nắm vững các điều khoản quan trọng. Hành lang pháp lý, kế thừa quy định, tuân thủ tương lai.

Hiệu lực của các hồ sơ đã nộp theo Nghị định 13 sẽ như thế nào khi Luật mới 2025 có hiệu lực?

Theo Điều 39 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, các Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đã được cơ quan chuyên trách tiếp nhận trước ngày 01/01/2026 sẽ tiếp tục có hiệu lực và không cần phải lập lại từ đầu.

Đây là một trong những quy định chuyển tiếp quan trọng nhất, mang lại sự an tâm và ổn định cho các doanh nghiệp đã chủ động tuân thủ Nghị định 13/2023/NĐ-CP. Cụ thể, khoản 2 Điều 39 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 nêu rõ:

“Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định của Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ đã được cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiếp nhận trước ngày Luật này có hiệu lực thi hành thì tiếp tục được sử dụng và không phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Luật này.”

Điều này có nghĩa là công sức và nguồn lực mà doanh nghiệp đã đầu tư để hoàn thiện và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu xuyên biên giới cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an sẽ được pháp luật công nhận và bảo toàn giá trị pháp lý.

Vậy khi cần cập nhật các hồ sơ đã nộp, doanh nghiệp phải tuân thủ quy trình nào?

Mọi hoạt động cập nhật, bổ sung hồ sơ sau ngày 01/01/2026 phải được thực hiện theo quy định của Luật Bảo vệ dữ liệu cá nhân 2025, ngay cả khi hồ sơ gốc được lập theo Nghị định 13.

Khoản 2 Điều 39 của Luật Bảo vệ dữ liệu cá nhân 2025 cũng quy định rất rõ ràng: “…việc cập nhật các hồ sơ đã lập nêu trên sau ngày Luật này có hiệu lực thi hành thì thực hiện theo quy định của Luật này.”

Điều này đồng nghĩa với việc, kể từ ngày 01/01/2026, khi doanh nghiệp có bất kỳ thay đổi nào trong hoạt động xử lý dữ liệu (ví dụ: thay đổi mục đích, bổ sung loại dữ liệu thu thập, thay đổi bên xử lý dữ liệu), việc cập nhật hồ sơ sẽ phải tuân theo các quy trình, biểu mẫu và yêu cầu mới được quy định trong Luật Bảo vệ dữ liệu cá nhân 2025 và các văn bản hướng dẫn thi hành. Doanh nghiệp cần chủ động nghiên cứu các quy định này để đảm bảo quá trình cập nhật diễn ra suôn sẻ.

Sự đồng ý của chủ thể dữ liệu đã thu thập theo Nghị định 13 có còn giá trị pháp lý không?

Có. Theo Điều 39 khoản 1 của Luật Bảo vệ dữ liệu cá nhân 2025, sự đồng ý hoặc thỏa thuận đã được thiết lập hợp lệ theo Nghị định 13 trước ngày 01/01/2026 sẽ tiếp tục có hiệu lực, doanh nghiệp không cần phải xin lại sự đồng ý.

Đây là tin vui lớn đối với các doanh nghiệp, giúp giảm bớt gánh nặng hành chính và tránh làm gián đoạn các hoạt động kinh doanh đang diễn ra. Khoản 1 Điều 39 của Luật Bảo vệ dữ liệu cá nhân 2025 quy định:

“Hoạt động xử lý dữ liệu cá nhân đang thực hiện mà đã được chủ thể dữ liệu cá nhân đồng ý hoặc theo thỏa thuận theo quy định của Nghị định số 13/2023/NĐ-CP… trước ngày Luật này có hiệu lực thi hành thì tiếp tục thực hiện, không phải xin đồng ý lại hoặc thỏa thuận lại.”

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Điều quan trọng doanh nghiệp cần lưu ý là sự đồng ý của chủ thể dữ liệu ban đầu phải được thu thập một cách hợp lệ, tuân thủ đúng các yêu cầu của Điều 11 Nghị định 13. Điều đó bao gồm sự tự nguyện, chủ thể dữ liệu được thông báo đầy đủ về mục đích, loại dữ liệu, bên xử lý, và quyền của mình. Nếu sự đồng ý ban đầu không hợp lệ, doanh nghiệp vẫn có thể đối mặt với rủi ro pháp lý. DPO.VN khuyến nghị doanh nghiệp nên rà soát lại các quy trình thu thập sự đồng ý hiện tại để đảm bảo tính hợp pháp.

Doanh nghiệp nào được miễn trừ một số nghĩa vụ trong giai đoạn chuyển tiếp?

Luật Bảo vệ dữ liệu cá nhân 2025 có quy định miễn trừ một số nghĩa vụ như lập Hồ sơ đánh giá tác động và chỉ định nhân sự/bộ phận bảo vệ dữ liệu cá nhân cho các doanh nghiệp nhỏ, siêu nhỏ và khởi nghiệp trong một khoảng thời gian nhất định, trừ một số trường hợp đặc biệt.

Nhằm tạo điều kiện thuận lợi và giảm bớt gánh nặng tuân thủ cho các doanh nghiệp có nguồn lực hạn chế, Điều 38 của Luật Bảo vệ dữ liệu cá nhân 2025 đã đưa ra các quy định miễn trừ cụ thể. Các quy định này kế thừa và mở rộng tinh thần của Điều 43 Nghị định 13.

Những trường hợp nào không được áp dụng miễn trừ?

Miễn trừ không áp dụng cho các doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu.

Điều 38 của Luật Bảo vệ dữ liệu cá nhân 2025 nêu rõ các trường hợp ngoại lệ. Dù thuộc nhóm doanh nghiệp nào, nếu hoạt động của bạn rơi vào một trong các lĩnh vực sau, bạn vẫn phải tuân thủ đầy đủ các quy định:

• Kinh doanh dịch vụ xử lý dữ liệu cá nhân: Các công ty có mô hình kinh doanh dựa trên việc xử lý dữ liệu cho các bên khác.
• Trực tiếp xử lý dữ liệu cá nhân nhạy cảm: Các đơn vị trong lĩnh vực y tế, tài chính, ngân hàng, hoặc các nền tảng thu thập dữ liệu cá nhân nhạy cảm.
• Xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu: Mặc dù chưa có định nghĩa cụ thể về “số lượng lớn”, các doanh nghiệp có tệp khách hàng lớn cần cẩn trọng và nên tuân thủ đầy đủ.

Doanh nghiệp cần chuẩn bị gì cho quá trình chuyển tiếp sang Luật Bảo vệ dữ liệu cá nhân 2025?

Doanh nghiệp cần chủ động rà soát toàn bộ quy trình, cập nhật chính sách, đào tạo nhân sự và chuẩn bị sẵn sàng cho các tiêu chuẩn cao hơn và chế tài nghiêm khắc hơn của Luật mới.

Giai đoạn chuyển tiếp là cơ hội vàng để doanh nghiệp rà soát và củng cố hệ thống bảo vệ dữ liệu cá nhân của mình. DPO.VN đề xuất một lộ trình hành động 5 bước để đảm bảo quá trình chuyển đổi suôn sẻ và hiệu quả:

1. Rà soát và Đánh giá (Audit): Tiến hành kiểm tra toàn diện các hoạt động xử lý dữ liệu hiện tại. So sánh các quy trình, biểu mẫu đồng ý, và chính sách quyền riêng tư của bạn với các yêu cầu của Luật Bảo vệ dữ liệu cá nhân 2025. Đặc biệt chú ý đến các định nghĩa mới và các yêu cầu nghiêm ngặt hơn về xử lý dữ liệu cá nhân của trẻ em hoặc dữ liệu sinh trắc học.
2. Cập nhật Hệ thống Tài liệu: Dựa trên kết quả rà soát, tiến hành cập nhật chính sách bảo vệ dữ liệu cá nhân, các điều khoản trong hợp đồng với khách hàng và đối tác, và các biểu mẫu xin sự đồng ý để đảm bảo chúng hoàn toàn tương thích với Luật mới.
3. Chuẩn bị Hồ sơ và Quy trình Cập nhật: Dù hồ sơ cũ còn hiệu lực, hãy chuẩn bị sẵn sàng cho quy trình cập nhật theo luật mới. Nắm rõ các biểu mẫu và thủ tục sẽ được ban hành bởi Chính phủ để có thể phản ứng nhanh chóng khi cần.
4. Đào tạo và Nâng cao Nhận thức: Tổ chức các buổi đào tạo cho toàn bộ nhân viên, đặc biệt là các phòng ban thường xuyên tiếp xúc với dữ liệu cá nhân như Marketing, Bán hàng, Nhân sự và IT. Nhấn mạnh về các quy định mới, quyền của chủ thể dữ liệu và các mức xử phạt vi phạm hành chính nghiêm khắc hơn.
5. Tư vấn Chuyên gia: Giai đoạn chuyển tiếp pháp luật luôn tiềm ẩn những điểm phức tạp. Việc tìm đến các chuyên gia tư vấn như DPO.VN sẽ giúp doanh nghiệp có được cái nhìn chính xác, tiết kiệm thời gian và đảm bảo tuân thủ một cách toàn diện, tránh được những sai sót tốn kém.

Các Câu Hỏi Thường Gặp Về Quy Định Chuyển Tiếp

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân
• Cổng Thông tin điện tử Chính phủ
• Hiệp hội An toàn thông tin Việt Nam (VNISA)
• Tạp chí An toàn thông tin – Ban Cơ yếu Chính phủ