Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) chính thức có hiệu lực, đặt ra khung quy định thống nhất về thu thập, sử dụng, chia sẻ và bảo vệ dữ liệu cá nhân tại Việt Nam. Điểm đáng chú ý là luật không chỉ áp dụng cho tổ chức/cá nhân trong nước mà còn bao phủ cả tổ chức/cá nhân nước ngoài tham gia hoặc liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam.
Luật định nghĩa dữ liệu cá nhân là dữ liệu số hoặc thông tin dạng khác giúp xác định hoặc có thể xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (danh mục do Chính phủ ban hành). Trong hệ sinh thái số, nhóm dữ liệu này xuất hiện ở hầu hết giao dịch: từ mở tài khoản, đăng ký dịch vụ, mua sắm, định danh, cho tới quảng cáo cá nhân hóa.
Theo quy định tại Chương II, mục 1, điều 9, Luật bảo vệ dữ liệu cá nhân, sự đồng ý của chủ thể đữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:
- Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;
- Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;
- Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây:Thể hiện sự đồng ý đối với từng mục đích; Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận; Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật; Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
Điều 10 quy định chủ thể dữ liệu cá nhân có quyền yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi có nghi ngờ phạm vi, mục đích xử lý dữ liệu cá nhân hoặc tính chính xác của dữ liệu cá nhân, trừ trường hợp quy định tại Điều 19 của Luật này hoặc trường hợp pháp luật có quy định khác.
Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân tiếp nhận, thực hiện và yêu cầu bên xử lý dữ liệu cá nhân thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu cá nhần của chủ thể dữ liệu cá nhân trong thời gian theo quy định của pháp luật.
Việc thực hiện yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân không áp dụng đổi với hoạt động xử lý dữ liệu cá nhân trước thời điểm chủ thể dữ liệu cá nhân yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân.
Cụ thể, chủ thể dữ liệu có thể yêu cầu bên kiểm soát dữ liệu xóa dữ liệu cá nhân trong trường hợp dữ liệu không còn cần thiết cho mục đích thu thập ban đầu; khi chủ thể dữ liệu rút lại sự đồng ý theo quy định tại Điều 12; hoặc khi chủ thể dữ liệu phản đối việc xử lý và bên kiểm soát, xử lý dữ liệu không có căn cứ pháp lý hợp pháp để tiếp tục (khoản 1 Điều 16).
Ví dụ, trước đây, khi một người dùng ngừng sử dụng mua sắm trực tuyến thì dữ liệu cá nhân như số điện thoại, địa chỉ, thông tin giao dịch vẫn có thể tiếp tục bị doanh nghiệp lưu trữ, thậm chí dùng cho mục đích tiếp thị, nếu điều này phù hợp với chính sách nội bộ hoặc điều khoản người dùng đã chấp thuận. Người dùng nếu muốn xóa thông tin thường chỉ có thể "đề nghị" và phụ thuộc vào thiện chí của doanh nghiệp.
Nhưng từ ngày 1/1/2026, người dùng có quyền rút lại sự đồng ý, yêu cầu xóa dữ liệu trong trường hợp dữ liệu không còn cần thiết cho mục đích ban đầu. Lúc này, doanh nghiệp với tư cách là bên kiểm soát, xử lý dữ liệu có nghĩa vụ xem xét và thực hiện yêu cầu này, trừ các trường hợp pháp luật cho phép tiếp tục lưu trữ.
Ảnh minh họa
Đối với các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
6. Mức phạt tiền tối đa quy định tại luật này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiên tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
Tổng hợp
Minh Ánh
