Báo cáo pháp lý: Tuân thủ quy định bảo vệ dữ liệu cá nhân cho doanh nghiệp

Với sự phát triển mạnh mẽ của công nghệ và yêu cầu ngày càng cao về bảo mật thông tin, việc tuân thủ các quy định bảo vệ dữ liệu cá nhân là nhiệm vụ quan trọng đối với mọi doanh nghiệp.

Trong phạm vi bài viết này, Luật Kỳ Vọng Việt sẽ làm rõ Báo cáo pháp lý: Tuân thủ quy định bảo vệ dữ liệu cá nhân cho doanh nghiệp, dựa trên các quy định của pháp luật.

I. Giới thiệu báo cáo

Báo cáo này phân tích các quy định pháp lý Việt Nam về bảo vệ dữ liệu cá nhân, nhằm giúp doanh nghiệp nắm rõ mục tiêu và phạm vi tuân thủ. Mục tiêu chính là tổng hợp các khái niệm, quy định, quyền – nghĩa vụ liên quan đến dữ liệu cá nhân, đồng thời cảnh báo rủi ro pháp lý nếu doanh nghiệp không tuân thủ. Phạm vi gồm các quy định hiện hành và sắp ban hành của Việt Nam về bảo vệ dữ liệu cá nhân, đặc biệt là Nghị định 13/2023/NĐ-CP, dự thảo luật bảo vệ dữ liệu cá nhân và các văn bản liên quan.

II. Tổng quan quy định pháp lý về bảo vệ dữ liệu cá nhân

1. Luật An toàn thông tin mạng

Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015 ban hành bởi Quốc hội có nội dung tóm tắt về bảo đảm an toàn thông tin mạng như yêu cầu tổ chức xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp bảo vệ dữ liệu cá nhân của mình, đồng thời chỉ được thu thập, sử dụng dữ liệu sau khi có sự đồng ý của chủ thể.

2. Luật An ninh mạng 2018

Luật An ninh mạng 2018 có nội dung quy định về việc bảo vệ thông tin cá nhân quy định chặt chẽ hơn với các doanh nghiệp cung cấp dịch vụ mạng tại Việt Nam: các doanh nghiệp (trong và ngoài nước) thu thập, xử lý dữ liệu cá nhân hoặc dữ liệu do người dùng Việt Nam tạo ra phải lưu trữ tại Việt Nam, đồng thời doanh nghiệp nước ngoài phải có chi nhánh hoặc văn phòng đại diện tại Việt Nam. Các quy định này nhằm đảm bảo quyền riêng tư người dùng và bảo vệ dữ liệu cá nhân trên không gian mạng.

3. Luật Dữ liệu

Luật Dữ liệu số 60/2024/QH15 ngày 30 tháng 11 năm 2024 ban hành bởi Quốc hội có nội dung tóm tắt về xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu số.

4. Luật khám bệnh, chữa bệnh

Luật khám bệnh, chữa bệnh số 15/2023/QH15 ngày 09 tháng 01 năm 2023 quy định về việc bảo mật hồ sơ bệnh án của bệnh nhân.

5. Luật trẻ em

Luật trẻ em số 102/2016/QH13 năm 2016 quy định về việc bảo vệ bí mật cá nhân của trẻ em.

6. Bộ luật lao động

Bộ luật lao động số 45/2019/QH14 ngày 20 tháng 11 năm 2019 của Quốc hội quy định về nghĩa vụ cung cấp thông tin khi giao kết hợp đồng lao động.

7. Nghị định 13/2023/NĐ-CP (ban hành 17/4/2023, có hiệu lực từ 1/7/2023)

Nghị định 13/2023/NĐ-CP quy định chi tiết về “bảo vệ dữ liệu cá nhân” đối với mọi cơ quan, tổ chức, cá nhân thu thập, xử lý dữ liệu tại Việt Nam. Nghị định này mở rộng khái niệm “dữ liệu cá nhân” (bao gồm dữ liệu cơ bản và dữ liệu nhạy cảm) và đưa ra các nguyên tắc, quyền của chủ thể dữ liệu, trách nhiệm của bên kiểm soát và xử lý dữ liệu.

8. Nghị định số 15/2020/NĐ-CP

Nghị định số 15/2020/NĐ-CP ngày 03 tháng 02 năm 2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện.

9. Nghị định số 24/2025/NĐ-CP

Nghị định số 24/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định xử phạt hành vi vi phạm về bảo vệ thông tin của người tiêu dùng.

III. Dữ liệu cá nhân là gì?

Theo Khoản 1 Điều 3 Nghị định 13/2023/NĐ-CP (có hiệu lực từ 01/7/2023), “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.”. Dữ liệu cá nhân gồm hai loại chính:

– Dữ liệu cá nhân cơ bản: họ tên, ngày tháng năm sinh, giới tính, nơi sinh, nơi ở,…

– Dữ liệu cá nhân nhạy cảm: quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc dân tộc,…

IV. Các chủ thể liên quan

Theo Nghị định 13/2023/NĐ-CP, các chủ thể chính trong xử lý dữ liệu cá nhân gồm:

– Chủ thể dữ liệu: Cá nhân được dữ liệu phản ánh (người có dữ liệu cá nhân).

– Bên kiểm soát dữ liệu cá nhân: Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

– Bên xử lý dữ liệu cá nhân: Xử lý dữ liệu thay mặt bên kiểm soát, theo hợp đồng/thỏa thuận.

– Bên kiểm soát và xử lý dữ liệu: Vừa quyết định mục đích/ phương tiện vừa trực tiếp xử lý.

– Bên thứ ba: Tổ chức, cá nhân ngoài danh sách được phép xử lý dữ liệu cá nhân (vd: nhà cung cấp, đối tác).

V. Các hành vi xử lý dữ liệu cá nhân phổ biến

– Thu thập: Nhập thông tin khách hàng/ nhân viên (đăng ký dịch vụ, khai báo y tế,…) có sự đồng ý.

– Lưu trữ: Ghi giữ dữ liệu trên hệ thống, máy chủ nội bộ hoặc đám mây.

– Phân tích, sử dụng: Tính toán số liệu, phân tích thị trường, xây dựng hồ sơ khách hàng.

– Chia sẻ/chuyển giao: Chuyển giao dữ liệu cho đối tác, chi nhánh, hoặc gửi ra nước ngoài (qua API, email, điện thoại) tuân thủ quy định về chuyển dữ liệu ra nước ngoài theo luật.

– Công khai: Cung cấp thông tin cá nhân trên trang web, ấn phẩm (phải có sự đồng ý rõ ràng).

– Cập nhật/chỉnh sửa: Đổi thông tin cá nhân khi có phát sinh (vd: chuyển địa chỉ, đổi số điện thoại).

– Truy cập/truy xuất: Xem xét, truy vấn cơ sở dữ liệu để lấy dữ liệu cá nhân.

– Mã hóa/giải mã, sao chép, xóa, hủy: Mã hóa, sao lưu, hoặc xóa hủy khi không cần thiết.

VI. Kết luận

Việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân là yếu tố then chốt để doanh nghiệp hoạt động bền vững và tạo dựng niềm tin với khách hàng.

Trên đây là nội dung tư vấn về Báo cáo pháp lý: Tuân thủ quy định bảo vệ dữ liệu cá nhân cho doanh nghiệp. Nếu bạn còn các thắc mắc liên quan đến vấn đề này, hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: