🔐 So sánh Luật Bảo vệ Dữ liệu Cá nhân 2025 và Nghị định 13/2023/NĐ-CP: Doanh nghiệp cần chuẩn bị gì?
Ngày 26/06/2025, Quốc hội đã chính thức thông qua Luật Bảo vệ Dữ liệu Cá nhân 2025, thay thế vai trò pháp lý chủ đạo trước đó của Nghị định 13/2023/NĐ-CP. Đây là một bước tiến quan trọng trong bối cảnh chuyển đổi số và quyền riêng tư đang ngày càng được chú trọng tại Việt Nam.
Vậy Luật mới có gì khác biệt? Doanh nghiệp cần làm gì để đảm bảo tuân thủ quy định xử lý dữ liệu cá nhân? Hãy cùng NC LAW phân tích những điểm mới quan trọng dưới đây.
🎯 1. Những điểm mới nổi bật của Luật Bảo vệ Dữ liệu Cá nhân 2025
| Nội dung | Nghị định 13/2023/NĐ-CP (NĐ 13) | Luật 91/2025/QH15 (Luật 91) | Điều khoản NĐ 13 | Điều khoản Luật 91 |
| Phạm vi áp dụng | Cơ quan, tổ chức, cá nhân Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. | Bổ sung thêm đối tượng người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước. | Điều 1 | Điều 1 |
| Định nghĩa dữ liệu cá nhân | Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. | Sửa đổi khái niệm Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể. | Điều 2.1 | Điều 2.1 |
| Khử nhận dạng dữ liệu cá nhân | Không quy định | Khử nhận dạng dữ liệu cá nhân là quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể. | Không có | Điều 2.11 |
| Dữ liệu sau khử nhận dạng | Không quy định | Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân. | Không có | Điều 2.1 (đoạn cuối) |
| Nguyên tắc sự đồng ý | Phải rõ ràng, tự nguyện, không đồng ý im lặng | Giữ nguyên, bổ sung yêu cầu tách biệt từng mục đích | Điều 11 | Điều 9 |
| Xử lý không cần đồng ý | 5 trường hợp | Bổ sung: quyền lợi chính đáng, an ninh, hợp đồng | Điều 17 | Điều 19 |
| Chuyển dữ liệu ra nước ngoài/ Chuyển dữ liệu cá nhân xuyên biên giới | Liệt kê chi tiết trường hợp chuyển dữ liệu cá nhân ra nước ngoài, bên chuyển dữ liệu cá nhân ra nước ngoài, hồ sơ đánh giá tác động, thủ tục nộp hồ sơ đến Bộ công an, trường hợp ngừng chuyển dữ liệu cá nhân ra nước ngoài. | Thay đổi khái niệm (xuyên biên giới), trường hợp chuyển dữ liệu, lập hồ sơ đánh giá tác động, việc kiểm tra định kỳ không quá 01 lần trong năm hoặc đột xuất, trường hợp ngừng chuyển dữ liệu cá nhân xuyên biên giới, các trường hợp không phải thực hiện đánh giá rác động, giao chính phủ quy định chi tiết một số nội dung và quy định thành phần hồ sơ, điều kiện, trình tự, thủ tục đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới. | Điều 25 | Điều 20 |
| Chế tài xử phạt | Chung chung, không cụ thể mức | Rõ ràng: phạt tới 3 tỷ, 5% doanh thu, 10 lần khoản thu … | Điều 4 | Điều 8 |
| Quyền và nghĩa vụ của chủ thể dữ liệu | 11 quyền
5 nghĩa vụ |
Gộp chung thành 1 điều Quyền và nghĩa vụ
6 quyền, 4 nghĩa vụ Bổ sung nguyên tắc khi thực hiện quyền và nghĩa vụ của Chủ thể dữ liệu cá nhân. |
Điều 9–10 | Điều 4 |
| Các bên liên quan đến hoạt động xử lý dữ liệu cá nhân | 4 nhóm: Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân , Bên thứ ba | Giữ nguyên, bổ sung rõ trách nhiệm từng bên | Điều 2.9–2.12 | Điều 2.7–2.10 |
| Xóa dữ liệu cá nhân | Có thời hạn 72 giờ kể từ yêu cầu | Quy định chi tiết hơn, có điều kiện và giới hạn | Điều 16 | Điều 14 |
📌 2. Doanh nghiệp cần chuẩn bị gì để tuân thủ Luật mới?
Luật Bảo vệ Dữ liệu Cá nhân 2025 mang đến nhiều thay đổi thực chất đòi hỏi doanh nghiệp phải chủ động rà soát toàn bộ quy trình xử lý dữ liệu. Dưới đây là một số bước khuyến nghị:
- ✅ Rà soát và cập nhật chính sách bảo vệ dữ liệu cá nhân
- ✅ Thực hiện đánh giá tác động xử lý dữ liệu cá nhân (DPIA)
- ✅ Đăng ký chuyển dữ liệu cá nhân ra nước ngoài đúng thủ tục
- ✅ Đào tạo nhân sự về quy định mới và trách nhiệm liên quan
- ✅ Thiết lập quy trình xử lý vi phạm, phản hồi yêu cầu cá nhân
⚖️ 3. Mức xử phạt vi phạm dữ liệu cá nhân theo Luật mới
Một trong những điểm khiến doanh nghiệp đặc biệt quan tâm là chế tài xử phạt trong Luật mới. Cụ thể:
- 🚨 Phạt tiền lên đến 3 tỷ đồng
- 🚨 Phạt theo % doanh thu (tối đa 5%)
- 🚨 Phạt gấp 10 lần khoản thu trái phép từ dữ liệu cá nhân
Việc chậm trễ tuân thủ không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng uy tín, thương hiệu và lòng tin từ khách hàng.
🧩 Kết luận: Việc ban hành Luật Bảo vệ Dữ liệu Cá nhân 2025 là bước tiến mạnh mẽ hướng tới một môi trường số an toàn và minh bạch. Doanh nghiệp cần chủ động nắm bắt – thích ứng – tuân thủ để không bị tụt lại phía sau.
📞 Liên hệ NC LAW để được tư vấn các vấn đề liên quan đến bảo vệ dữ liệu cá nhân
🌐 Website: https://luatthekymoi.vn
📩 Email: Luatthekymoi@gmail.com
📱 Zalo: 0967 956 278 – 0974 671 804
