Sáng 26/6, tại Kỳ họp thứ 9, Quốc hội khóa XV, với 433/435 đại biểu tham gia biểu quyết tán thành (bằng 90,59% tổng số đại biểu Quốc hội), Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân.
Luật gồm 5 chương, 39 điều, quy định về bảo vệ dữ liệu cá nhân; lực lượng, điều kiện bảo đảm bảo vệ dữ liệu cá nhân; trách nhiệm của cơ quan, tổ chức, cá nhân về bảo vệ dữ liệu cá nhân...
Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ ngày 1/1/2026.
Phạt 5% doanh thu hành vi vi phạm về chuyển dữ liệu cá nhân xuyên biên giới
Tại Điều 8 về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân, Luật quy định rõ, tổ chức, cá nhân có hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm. Nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.
Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
Khoản 5 Điều 8: Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng.
Luật cũng quy định rõ, cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Áp dụng cơ chế hậu kiểm với chuyển dữ liệu cá nhân xuyên biên giới
Trình bày báo cáo tiếp thu, giải trình, chỉnh lý dự thảo Luật trước khi Quốc hội bấm nút, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết, tiếp thu ý kiến đại biểu, dự thảo đã bổ sung quy định khi thực hiện quyền, chủ thể dữ liệu phải có nghĩa vụ tuân thủ các nguyên tắc: đúng pháp luật và tuân thủ nghĩa vụ theo hợp đồng; phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân.
Đồng thời, không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của các bên và không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.
Dự thảo Luật cũng quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý dữ liệu cá nhân, cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu.
Với chuyển dữ liệu cá nhân xuyên biên giới, dự thảo quy định áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.
Về đánh giá tác động khi xử lý dữ liệu cá nhân và khi chuyển dữ liệu cá nhân xuyên biên giới, cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết.
