Từ năm 2023, khung pháp lý về bảo vệ và xử lý dữ liệu cá nhân tại Việt Nam liên tục được cập nhật với những bước tiến lớn và tác động sâu rộng đến mọi khía cạnh của hoạt động kinh doanh thông thường của doanh nghiệp, với dự ra đời của Nghị định 13/2023/NĐ-CP, Luật Dữ liệu 2024 và Luật bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN). Trong bối cảnh dữ liệu cá nhân đang trở thành một nguồn tài nguyên không thể thiếu trong hoạt động vận hành, tối ưu kinh doanh của bất kỳ doanh nghiệp nào, việc hiểu các khái niệm pháp lý cơ bản của pháp luật về bảo vệ dữ liệu cá nhân sẽ là bước khởi đầu quan trọng để doanh nghiệp trang bị được nhận thức cơ bản và tiến tới đáp ứng đầy đủ các nghĩa vụ pháp lý trong quá trình xử lý dữ liệu cá nhân. Bài viết sẽ giới thiệu những khái niệm pháp lý cơ bản và phổ biến trong lĩnh vực pháp lý về bảo vệ dữ liệu cá nhân.
1. Dữ liệu cá nhân:
Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. (Khoản 1 Điều 2 LBVDLCN)
Trong đó:
- Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
- Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
2. Xử lý dữ liệu cá nhân:
Là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.
3. Các chủ thể:
- Chủ thể dữ liệu: là người được dữ liệu cá nhân phản ánh.
- Bên Kiểm soát dữ liệu cá nhân: là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
- Bên xử lý dữ liệu cá nhân: là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng.
- Bên kiểm soát và xử lý dữ liệu cá nhân: là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
4. Quyền của chủ thể dữ liệu:
Quyền của chủ thể dữ liệu cá nhân bao gồm: a) Được biết về hoạt động xử lý dữ liệu cá nhân; b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân; đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật; e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
5. Sự đồng ý của chủ thể dữ liệu
(i) Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
(ii) Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây: a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân; b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân; c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
(iii) Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
(iv) Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây: a) Thể hiện sự đồng ý đối với từng mục đích; b) Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận; c) Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật; d) Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
6. Chuyển dữ liệu cá nhân xuyên biên giới
Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới bao gồm: a) Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; b) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài; c) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.
Các khái niệm pháp lý trên là những khái niệm pháp lý cơ bản nhất liên quan đến khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam. Ở phần tiếp theo, chúng tôi sẽ giới thiệu các quy định bảo vệ dữ liệu cá nhân đối với từng lĩnh vực cụ thể theo quy định của Luật BVDLCN 2025.
Ngày viết bài: 19/07/2025
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
